Поделиться через


Принцип работы: регистрация устройства

Регистрация устройств — необходимое условие для выполнения проверки подлинности на основе облака. Как правило, устройства регистрируются с использованием идентификатора Microsoft Entra ID или присоединяются в гибридном режиме с помощью Microsoft Entra для завершения регистрации устройства. В этой статье содержатся сведения о том, как подключение к Microsoft Entra и гибридное подключение Microsoft Entra работают в управляемых и федеративных средах. Дополнительные сведения о том, как работает аутентификация Microsoft Entra на этих устройствах, см. в статье "Основные маркеры обновления".

Microsoft Entra включена в управляемые среды

Объединённый поток устройства Microsoft Entra в управляемой среде

Этап Описание
а Наиболее распространенный способ регистрации устройств, присоединенных к Microsoft Entra, — во время первоначальной настройки (OOBE), когда загружается веб-приложение Microsoft Entra join в приложении "Облачный Узел Интерфейса" (CXH). Приложение отправляет запрос GET в конечную точку конфигурации Microsoft Entra OpenID для обнаружения конечных точек авторизации. Идентификатор Microsoft Entra возвращает конфигурацию OpenID, которая включает конечные точки авторизации в приложение в виде документа JSON.
Б Приложение создает запрос на вход для конечной точки авторизации и собирает учетные данные пользователей.
C После того как пользователь предоставит имя участника-пользователя (UPN), приложение отправляет запрос GET в Microsoft Entra ID, чтобы определить соответствующую информацию о домене для пользователя. На основании этой информации можно определить вид среды — управляемая или федеративная. Идентификатор Microsoft Entra возвращает сведения в объекте JSON. Приложение определяет, что это управляемая среда (неконсолидированная).

В качестве последнего действия на этом этапе приложение создает аутентификационный буфер и, если в режиме OOBE, временно кэширует его для автоматического входа в систему в конце процедуры OOBE. Приложение отправляет учетные данные в систему Microsoft Entra ID, где они проверяются. Идентификатор Microsoft Entra ID возвращает токен ID с претензиями.
D Приложение ищет условия использования управления мобильными устройствами (MDM) (утверждение mdm_tou_url). Если они есть, приложение получает условия использования из значения утверждения, предоставляет содержимое пользователю и ожидает, пока пользователь примет условия использования. Этот шаг является необязательным и будет пропущен, если утверждение отсутствует или если значение утверждения пустое.
E Приложение отправляет запрос на обнаружение регистрации устройств в службу регистрации устройств Azure (DRS). Azure DRS возвращает документ с данными обнаружения, который возвращает URI, зависящие от клиента, для завершения регистрации устройства.
F Приложение создает ограниченную доверенным платформенным модулем (предпочтительным) пару ключей RSA длиной 2048 разрядов, называемую ключом устройства (dkpub и dkpriv). Приложение создает запрос на сертификат с помощью ключа dkpub и открытого ключа и подписывает запрос на сертификат с помощью ключа dkpriv. Затем приложение генерирует вторую пару ключей, производную от корневого ключа хранилища доверенного платформенного модуля. Этот ключ является ключом транспортировки (tkpub/tkpriv).
G Приложение отправляет в Azure DRS запрос на регистрацию устройства, включающий маркер идентификатора, запрос на сертификат, ключ tkpub и данные аттестации. Azure DRS проверяет маркер идентификатора, создает идентификатор устройства, а также создает сертификат на основе включенного запроса на сертификат. Затем Azure DRS записывает объект устройства в идентификатор Microsoft Entra ID и отправляет идентификатор устройства и сертификат устройства клиенту.
H Регистрация устройства завершается после получения идентификатора устройства и сертификата устройства из Azure DRS. Система сохраняет идентификатор устройства для дальнейшего использования (его можно просмотреть в dsregcmd.exe /status) и устанавливает сертификат устройства в личное хранилище компьютера. После завершения регистрации устройства процесс продолжается с регистрации в MDM.

Microsoft Entra, объединена с федеративными средами

Объединенный поток устройств Microsoft Entra в федеративной среде

Этап Описание
а Наиболее распространенный способ регистрации устройств, присоединенных к Microsoft Entra, — во время первого запуска (OOBE), в которой загружается веб-приложение Microsoft Entra Join в приложении «Узел облачного интерфейса» (CXH). Приложение отправляет запрос GET в конечную точку конфигурации Microsoft Entra OpenID для обнаружения конечных точек авторизации. Идентификатор Microsoft Entra возвращает конфигурацию OpenID, которая включает конечные точки авторизации в приложение в виде документа JSON.
Б Приложение создает запрос на вход для конечной точки авторизации и собирает учетные данные пользователей.
C После того как пользователь предоставит имя пользователя (в формате UPN), приложение отправляет запрос GET в Microsoft Entra ID, чтобы найти информацию о соответствующем домене для пользователя. На основании этой информации можно определить вид среды — управляемая или федеративная. Идентификатор Microsoft Entra возвращает сведения в объекте JSON. Приложение определяет, что среда является федеративной.

Приложение перенаправляется на значение AuthURL (страница входа в систему для локального STS) в возвращенном объекте JSON realm. Приложение собирает учетные данные с помощью веб-страницы STS.
D Приложение POST учетные данные для локальной службы токенов безопасности (STS), которая может потребовать дополнительных факторов аутентификации. Локальная служба STS выполняет проверку подлинности пользователя и возвращает маркер. Приложение отправляет токен в Microsoft Entra ID для аутентификации. Идентификатор Microsoft Entra проверяет токен и возвращает токен идентификатора с претензиями.
E Приложение ищет условия использования MDM (утверждение mdm_tou_url). Если они есть, приложение получает условия использования из значения утверждения, предоставляет содержимое пользователю и ожидает, пока пользователь примет условия использования. Этот шаг необязательный и пропускается, если утверждение отсутствует или значение утверждения пустое.
F Приложение отправляет запрос на обнаружение регистрации устройств в службу регистрации устройств Azure (DRS). Azure DRS возвращает документ с данными обнаружения, который возвращает URI, зависящие от клиента, для завершения регистрации устройства.
G Приложение создает связанную с модулем доверенной платформы (TPM) (предпочтительно) пару ключей RSA длиной 2048 бит, называемую ключом устройства (dkpub/dkpriv). Приложение создает запрос на сертификат с помощью ключа dkpub и открытого ключа и подписывает запрос на сертификат с помощью ключа dkpriv. Затем приложение создает вторую производную пару ключей на основе корневого ключа хранилища доверенного платформенного модуля. Этот ключ является ключом транспорта (tkpub и tkpriv).
H Приложение отправляет в Azure DRS запрос на регистрацию устройства, включающий маркер идентификатора, запрос на сертификат, ключ tkpub и данные аттестации. Azure DRS проверяет маркер идентификатора, создает идентификатор устройства, а также создает сертификат на основе включенного запроса на сертификат. Затем Azure DRS записывает объект устройства в идентификатор Microsoft Entra ID и отправляет идентификатор устройства и сертификат устройства клиенту.
Я Регистрация устройства завершается после получения идентификатора устройства и сертификата устройства из Azure DRS. Система сохраняет идентификатор устройства для дальнейшего использования (его можно просмотреть в dsregcmd.exe /status) и устанавливает сертификат устройства в личное хранилище компьютера. После завершения регистрации устройства процесс продолжается с регистрации в MDM.

Гибридное присоединение Microsoft Entra в управляемых средах

Снимок экрана: гибридный поток устройства, присоединенного к Microsoft Entra, в управляемой среде.

Этап Описание
а Используя учетные данные домена, пользователь выполняет вход в систему на компьютере с ОС Windows 10 или более поздней версии, присоединенном к домену. Эти учетные данные могут представлять собой имя пользователя и пароль либо процедуру проверки подлинности с использованием смарт-карты. При входе пользователя в систему запускается задача автоматического присоединения устройства. При присоединении к домену система запускает задачи автоматического присоединения устройства и повторно выполняет их каждый час. Этот процесс зависит не только от входа пользователя в систему.
Б Задача выполняет запрос к Active Directory с использованием протокола LDAP, чтобы получить атрибут keywords в точке подключения службы, которая хранится в разделе конфигурации в Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Значение, возвращаемое в атрибуте ключевых слов, определяет, направляется ли регистрация устройства в службу регистрации устройств Azure (DRS) или службу регистрации корпоративных устройств, размещенную локально.
C Для управляемой среды задача создает первоначальные аутентификационные данные в форме самоподписанного сертификата. Задача записывает сертификат в атрибут userCertificate объекта компьютера в Active Directory с использованием протокола LDAP.
Д Компьютер не может пройти аутентификацию в Azure DRS, пока в Microsoft Entra ID не будет создан объект устройства, представляющий компьютер и содержащий сертификат в атрибуте userCertificate. Microsoft Entra Connect обнаруживает изменение атрибута. В следующем цикле синхронизации Microsoft Entra Connect отправляет userCertificate, GUID объекта и идентификатор безопасности компьютера в Azure DRS. Azure DRS использует сведения о атрибуте для создания объекта устройства в идентификаторе Microsoft Entra.
E Задача "Автоматическое присоединение к устройству" активируется при каждом входе пользователя или каждый час и пытается пройти проверку подлинности компьютера в идентификаторе Microsoft Entra с помощью соответствующего закрытого ключа открытого ключа в атрибуте userCertificate. Microsoft Entra проверяет подлинность компьютера и выдает маркер идентификатора компьютеру.
F Задача создает ограниченную доверенным платформенным модулем (TPM) (предпочтительным) пару ключей RSA длиной 2048 бит, называемую ключом устройства (dkpub/dkpriv). Приложение создает запрос на сертификат с помощью ключа dkpub и открытого ключа и подписывает запрос на сертификат с помощью ключа dkpriv. Затем приложение создает вторую пару ключей, производную от корневого ключа хранилища TPM. Этот ключ является транспортным ключом (tkpub/tkpriv).
G Задача отправляет в Azure DRS запрос на регистрацию устройства, включающий маркер идентификатора, запрос на сертификат, ключ tkpub и данные аттестации. Azure DRS проверяет маркер идентификатора, создает идентификатор устройства, а также создает сертификат на основе включенного запроса на сертификат. Затем Azure DRS обновляет объект устройства в идентификаторе Microsoft Entra и отправляет идентификатор устройства и сертификат устройства клиенту.
H Регистрация устройства завершается после получения идентификатора устройства и сертификата устройства из Azure DRS. Система сохраняет идентификатор устройства для дальнейшего использования (его можно просмотреть в dsregcmd.exe /status) и устанавливает сертификат устройства в личное хранилище компьютера. После завершения регистрации устройства задача завершается.

Гибридное подключение Microsoft Entra в федеративных средах

Гибридный поток устройства, присоединенного к Microsoft Entra, в управляемой среде

Этап Описание
А Используя учетные данные домена, пользователь выполняет вход в систему на компьютере с ОС Windows 10 или более поздней версии, присоединенном к домену. Эти учетные данные могут представлять собой имя пользователя и пароль либо процедуру проверки подлинности с использованием смарт-карты. При входе пользователя в систему запускается задача автоматического присоединения устройства. При присоединении к домену система запускает задачи автоматического присоединения устройства и повторно выполняет их каждый час. Этот процесс зависит не только от входа пользователя в систему.
Б Задача запрашивает Active Directory, используя протокол LDAP, атрибут keywords для точки подключения к службе, которая хранится в разделе конфигурации в Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Значение, возвращаемое в атрибуте ключевых слов, определяет, направляется ли регистрация устройства в службу регистрации устройств Azure (DRS) или службу регистрации корпоративных устройств, размещенную локально.
C При работе с федеративными средами компьютер проверяет подлинность конечной точки регистрации корпоративного устройства, используя встроенную функцию проверки подлинности Windows. Служба регистрации корпоративных устройств создает и возвращает маркер, включающий утверждения для GUID объекта, SID компьютера и сведения о состоянии присоединения к домену. Задача отправляет токен и утверждения в Microsoft Entra ID, где они проверяются. Microsoft Entra ID возвращает ID-токен в выполняемую задачу.
D Приложение создает предпочтительно связанную с доверенным платформенным модулем (TPM) пару ключей RSA длиной 2048 бит, называемую ключом устройства (dkpub/dkpriv). Приложение создает запрос на сертификат с помощью ключа dkpub и открытого ключа и подписывает запрос на сертификат с помощью ключа dkpriv. Затем приложение создает вторую пару ключей на основе корневого ключа хранилища доверенного платформенного модуля. Этот ключ является транспортным ключом (tkpub/tkpriv).
E Чтобы обеспечить единый вход для локального федеративного приложения, необходимо запросить корпоративный PRT у локальной службы STS. Windows Server 2016, на котором работает роль служб федерации Active Directory (AD FS), проверяет запрос и возвращает его обратно выполняющейся задаче.
F Задача отправляет в Azure DRS запрос на регистрацию устройства, включающий маркер идентификатора, запрос на сертификат, ключ tkpub и данные аттестации. Azure DRS проверяет маркер идентификатора, создает идентификатор устройства, а также создает сертификат на основе включенного запроса на сертификат. Затем Azure DRS записывает объект устройства в идентификатор Microsoft Entra ID и отправляет идентификатор устройства и сертификат устройства клиенту. Регистрация устройства завершается после получения идентификатора устройства и сертификата устройства из Azure DRS. Система сохраняет идентификатор устройства для дальнейшего использования (его можно просмотреть в dsregcmd.exe /status) и устанавливает сертификат устройства в личное хранилище компьютера. После завершения регистрации устройства задача завершается.
G Если включена обратная запись устройства Microsoft Entra Connect, Microsoft Entra Connect запрашивает обновления от идентификатора Microsoft Entra в следующем цикле синхронизации (обратная запись устройства требуется для гибридного развертывания с использованием доверия сертификатов). Идентификатор Microsoft Entra сопоставляет объект устройства с соответствующим синхронизированным компьютерным объектом. Microsoft Entra Connect получает объект устройства, который включает идентификатор GUID объекта и идентификатор безопасности компьютера и записывает объект устройства в Active Directory.

Следующие шаги