Como funciona: Registo de dispositivos
O Registro de Dispositivo é um pré-requisito para a autenticação baseada em nuvem. Comumente, os dispositivos são Microsoft Entra ID ou Microsoft Entra híbrido unido para concluir o registro do dispositivo. Este artigo fornece detalhes de como o Microsoft Entra join e o Microsoft Entra hybrid join funcionam em ambientes gerenciados e federados. Para obter mais informações sobre como a autenticação do Microsoft Entra funciona nesses dispositivos, consulte o artigo Tokens de atualização primários.
Microsoft Entra aderiu a ambientes geridos
| Fase | Descrição |
|---|---|
| A | A forma mais comum como os dispositivos associados ao Microsoft Entra são registados é durante a experiência pronta para uso (OOBE), onde carrega a aplicação web de associação do Microsoft Entra na aplicação Cloud Experience Host (CXH). O aplicativo envia uma solicitação GET para o ponto de extremidade de configuração do Microsoft Entra OpenID para descobrir pontos de extremidade de autorização. Microsoft Entra ID retorna a configuração OpenID, que inclui os endpoints de autorização, ao aplicativo como um documento no formato JSON. |
| N | A aplicação constrói um pedido de início de sessão para o ponto de extremidade de autorização e recolhe as credenciais de utilizador. |
| C | Depois que o usuário fornece seu nome principal de usuário (UPN), o aplicativo envia uma solicitação GET para o ID do Microsoft Entra para descobrir as informações de território correspondentes para o usuário. Essas informações determinam se o ambiente é gerenciado ou federado. Microsoft Entra ID retorna as informações em um objeto JSON. O aplicativo determina que o ambiente é gerenciado (não federado). A última etapa nesta fase faz com que o aplicativo crie um buffer de autenticação e, se estiver na OOBE, armazene-o temporariamente em cache para entrada automática no final da OOBE. O aplicativo POSTA as credenciais para o Microsoft Entra ID onde elas são validadas. O Microsoft Entra ID retorna um token de ID com declarações. |
| D | A aplicação procura os termos de uso de gerenciamento de dispositivos móveis (MDM) (o atributo mdm_tou_url). Se estiver presente, o aplicativo recupera os termos de uso do valor da reclamação, apresenta o conteúdo ao usuário e aguarda que o usuário aceite os termos de uso. Esta etapa é opcional e ignorada se a declaração não estiver presente ou se o valor da declaração estiver vazio. |
| E | O aplicativo envia uma solicitação de descoberta de registro de dispositivo para o Serviço de Registro de Dispositivo (DRS) do Azure. O Azure DRS retorna um documento de dados de descoberta, que retorna URIs específicos do tenant para concluir o registo do dispositivo. |
| F | O aplicativo cria um par de chaves RSA de 2048 bits vinculado ao TPM (preferencial) conhecido como chave de dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Esta chave é a chave de transporte (tkpub/tkpriv). |
| G | O aplicativo envia uma solicitação de registro de dispositivo para o DRS do Azure que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O Azure DRS valida o token de ID, cria uma ID de dispositivo e cria um certificado com base na solicitação de certificado incluída. Em seguida, o Azure DRS grava um objeto de dispositivo na ID do Microsoft Entra e envia a ID do dispositivo e o certificado do dispositivo para o cliente. |
| H | O registro do dispositivo é concluído recebendo a ID do dispositivo e o certificado do dispositivo do Azure DRS. O ID do dispositivo é guardado para referência futura (visível a partir de dsregcmd.exe /status), e o certificado do dispositivo é instalado no repositório pessoal do computador. Com o registro do dispositivo concluído, o processo continua com o registro do MDM. |
Microsoft Entra entrou em ambientes federados
| Fase | Descrição |
|---|---|
| A | A forma mais comum de registo dos dispositivos no Microsoft Entra ocorre durante a experiência inicial (OOBE), onde se carrega a aplicação web de adesão do Microsoft Entra na aplicação Cloud Experience Host (CXH). A aplicação envia uma solicitação GET para o endpoint de configuração do Microsoft Entra OpenID para descobrir endpoints de autorização. O Microsoft Entra ID retorna a configuração OpenID, que inclui os pontos de extremidade de autorização, para o aplicativo como documento JSON. |
| B | A aplicação cria um pedido de início de sessão para o ponto final de autorização e recolhe as credenciais do utilizador. |
| C | Depois que o usuário fornece seu nome de usuário (no formato UPN), o aplicativo envia uma solicitação GET para o Microsoft Entra ID para descobrir as informações de território correspondentes para o usuário. Essas informações determinam se o ambiente é gerenciado ou federado. Microsoft Entra ID retorna as informações em um objeto JSON. O aplicativo determina que o ambiente é federado. A aplicação redireciona para o valor AuthURL (página de autenticação do STS local) no objeto de realm JSON retornado. O aplicativo coleta credenciais por meio da página da Web STS. |
| D | O aplicativo POSTA a credencial para o STS local, o que pode exigir fatores extras de autenticação. O STS local autentica o usuário e retorna um token. A aplicação envia o token para o Microsoft Entra ID para autenticação. O Microsoft Entra ID valida o token e retorna um token de ID com declarações. |
| E | A aplicação procura os termos de uso do MDM (a declaração mdm_tou_url). Se estiver presente, o aplicativo recupera os termos de uso do valor da reclamação, apresenta o conteúdo ao usuário e aguarda que o usuário aceite os termos de uso. Esta etapa é opcional e ignorada se a declaração não estiver presente ou se o valor da declaração estiver vazio. |
| F | O aplicativo envia uma solicitação de descoberta de registro de dispositivo para o Serviço de Registro de Dispositivo (DRS) do Azure. O Azure DRS devolve um documento de dados de descoberta, que fornece URIs específicas do inquilino para concluir o registo do dispositivo. |
| G | O aplicativo cria um par de chaves RSA de 2048 bits vinculado ao TPM (preferencial) conhecido como chave de dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Esta chave é a chave de transporte (tkpub/tkpriv). |
| H | O aplicativo envia uma solicitação de registro de dispositivo para o DRS do Azure que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O Azure DRS valida o token de ID, cria uma ID de dispositivo e cria um certificado com base na solicitação de certificado incluída. Em seguida, o Azure DRS grava um objeto de dispositivo na ID do Microsoft Entra e envia a ID do dispositivo e o certificado do dispositivo para o cliente. |
| I | O registro do dispositivo é concluído recebendo a ID do dispositivo e o certificado do dispositivo do Azure DRS. O ID do dispositivo é guardado para referência futura (visível a partir de dsregcmd.exe /status), e o certificado do dispositivo é instalado no armazém pessoal do computador. Com o registro do dispositivo concluído, o processo continua com o registro do MDM. |
Microsoft Entra híbrido ingressado em ambientes gerenciados
| Fase | Descrição |
|---|---|
| A | O utilizador inicia sessão num domínio que aderiu ao Windows 10 ou a um computador mais recente utilizando credenciais de domínio. Essa credencial pode ser nome de usuário e senha ou autenticação de cartão inteligente. O login do utilizador aciona a tarefa de Associação Automática de Dispositivo. As tarefas de Ingressão Automática de Dispositivo são ativadas quando um dispositivo é associado ao domínio e repetidas a cada hora. Não depende apenas do login do utilizador. |
| B | A tarefa consulta o Active Directory usando o protocolo LDAP para o atributo de palavras-chave no ponto de conexão de serviço armazenado na partição de configuração no Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). O valor retornado no atributo keywords determina se o registro do dispositivo é direcionado ao Azure Device Registration Service (DRS) ou ao serviço de registro de dispositivo corporativo hospedado localmente. |
| C | Para o ambiente gerenciado, a tarefa cria uma credencial de autenticação inicial na forma de um certificado autoassinado. A tarefa grava o certificado no atributo userCertificate no objeto de computador no Ative Directory usando LDAP. |
| D | O computador não pode se autenticar no Azure DRS até que um objeto de dispositivo que represente o computador que inclui o certificado no atributo userCertificate seja criado na ID do Microsoft Entra. O Microsoft Entra Connect deteta uma alteração de atributo. No próximo ciclo de sincronização, o Microsoft Entra Connect envia o userCertificate, o GUID do objeto e o SID do computador para o Azure DRS. O Azure DRS usa as informações de atributo para criar um objeto de dispositivo na ID do Microsoft Entra. |
| E | A Tarefa de Associação Automática de Dispositivo é acionada a cada sessão de utilizador ou a cada hora e tenta autenticar o computador ao Microsoft Entra ID usando a chave privada correspondente da chave pública no atributo userCertificate. O Microsoft Entra autentica o computador e emite um token de ID para o computador. |
| F | A tarefa cria um par de chaves RSA de 2048 bits, preferencialmente vinculado ao TPM, conhecido como chave de dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Esta chave é a chave de transporte (tkpub/tkpriv). |
| G | A tarefa envia uma solicitação de registro de dispositivo para o DRS do Azure que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O Azure DRS valida o token de ID, cria uma ID de dispositivo e cria um certificado com base na solicitação de certificado incluída. Em seguida, o Azure DRS atualiza o objeto de dispositivo na ID do Microsoft Entra e envia a ID do dispositivo e o certificado do dispositivo para o cliente. |
| H | O registro do dispositivo é concluído recebendo a ID do dispositivo e o certificado do dispositivo do Azure DRS. O ID do dispositivo é guardado para referência futura (visível a partir de dsregcmd.exe /status), e o certificado do dispositivo é instalado no armazenamento pessoal do computador. Com o registro do dispositivo concluído, a tarefa é encerrada. |
Microsoft Entra híbrido ingressado em ambientes federados
| Fase | Descrição |
|---|---|
| A | O utilizador inicia sessão num domínio que aderiu ao Windows 10 ou a um computador mais recente utilizando credenciais de domínio. Essa credencial pode ser nome de usuário e senha ou autenticação de cartão inteligente. O início de sessão do utilizador aciona a tarefa de Associação Automática do Dispositivo. A tarefa de Ingresso Automático de Dispositivo é acionada na adesão ao domínio e repetida a cada hora. Não depende apenas do início de sessão do utilizador. |
| B | A tarefa consulta o Ative Directory usando o protocolo LDAP para o atributo keywords no ponto de conexão de serviço armazenado na partição de configuração no Ative Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). O valor retornado no atributo keywords determina se o registro do dispositivo é direcionado ao Azure Device Registration Service (DRS) ou ao serviço de registro de dispositivo corporativo hospedado localmente. |
| C | Para os ambientes federados, o computador autentica o ponto de extremidade de registro do dispositivo corporativo usando a Autenticação Integrada do Windows. O serviço de registro de dispositivo corporativo cria e retorna um token que inclui declarações para o GUID do objeto, SID do computador e estado associado ao domínio. A tarefa envia o token e as declarações para o Microsoft Entra ID, onde são validados. O Microsoft Entra ID retorna um token de ID para a tarefa em execução. |
| D | O aplicativo cria um par de chaves RSA de 2048 bits vinculado ao TPM (preferencial) conhecido como chave de dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Esta chave é a chave de transporte (tkpub/tkpriv). |
| E | Para fornecer Single Sign-On (SSO) para um aplicativo federado nas instalações, a tarefa solicita um PRT corporativo da STS local. O Windows Server 2016 executando a função Serviços de Federação do Ative Directory valida a solicitação e retorna a tarefa em execução. |
| F | A tarefa envia uma solicitação de registro de dispositivo para o DRS do Azure que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O Azure DRS valida o token de ID, cria uma ID de dispositivo e cria um certificado com base na solicitação de certificado incluída. Em seguida, o Azure DRS grava um objeto de dispositivo na ID do Microsoft Entra e envia a ID do dispositivo e o certificado do dispositivo para o cliente. O registro do dispositivo é concluído recebendo a ID do dispositivo e o certificado do dispositivo do Azure DRS. O identificador do dispositivo é guardado para referência futura (visível a partir de dsregcmd.exe /status) e o certificado do dispositivo é instalado no armazenamento pessoal do computador. Com o registro do dispositivo concluído, a tarefa é encerrada. |
| G | Se o write-back de dispositivo do Microsoft Entra Connect estiver habilitado, o Microsoft Entra Connect solicitará atualizações do Microsoft Entra ID no seu próximo ciclo de sincronização (o write-back do dispositivo é necessário para implantação híbrida usando confiança de certificado). O Microsoft Entra ID correlaciona o objeto de dispositivo com um objeto de computador sincronizado correspondente. O Microsoft Entra Connect recebe o objeto de dispositivo que inclui o GUID do objeto e o SID do computador e grava o objeto de dispositivo no Ative Directory. |