Принцип работы: регистрация устройства
Регистрация устройств — необходимое условие для выполнения проверки подлинности на основе облака. Как правило, устройства — это идентификатор Microsoft Entra или гибридное присоединение Microsoft Entra к завершению регистрации устройств. В этой статье содержатся сведения о том, как присоединение к Microsoft Entra и гибридное соединение Microsoft Entra работают в управляемых и федеративных средах. Дополнительные сведения о том, как работает проверка подлинности Microsoft Entra на этих устройствах, см. в статье "Основные маркеры обновления".
Microsoft Entra, присоединенная в управляемых средах
| Этап | Description |
|---|---|
| а | Наиболее распространенный способ регистрации устройств, присоединенных к Microsoft Entra, — во время встроенного интерфейса (OOBE), где он загружает веб-приложение microsoft Entra join в приложении "Узел облачного интерфейса" (CXH). Приложение отправляет запрос GET в конечную точку конфигурации Microsoft Entra OpenID для обнаружения конечных точек авторизации. Идентификатор Microsoft Entra возвращает конфигурацию OpenID, которая включает конечные точки авторизации в приложение в виде документа JSON. |
| Б | Приложение создает запрос на вход для конечной точки авторизации и собирает учетные данные пользователей. |
| C | После того как пользователь предоставит имя участника-пользователя (UPN), приложение отправляет запрос GET в идентификатор Microsoft Entra, чтобы обнаружить соответствующие сведения о области для пользователя. На основании этой информации можно определить вид среды — управляемая или федеративная. Идентификатор Microsoft Entra возвращает сведения в объекте JSON. Приложение определяет, что среда управляется (нефедерирована). В качестве последнего действия на этом этапе приложение создает буфер проверки подлинности и (если выполняется первый запуск устройства) временно кэширует его для автоматического входа в систему в конце процедуры первого запуска устройства. Приложение posts учетные данные в идентификаторе Microsoft Entra, где они проверяются. Идентификатор Microsoft Entra возвращает маркер идентификатора с утверждениями. |
| D | Приложение ищет условия использования управления мобильными устройствами (MDM) (утверждение mdm_tou_url). Если они есть, приложение получает условия использования из значения утверждения, предоставляет содержимое пользователю и ожидает, пока пользователь примет условия использования. Это действие не является обязательным. Оно будет пропущено, если утверждения нет либо если значение утверждения пустое. |
| E | Приложение отправляет запрос на обнаружение регистрации устройств в службу регистрации устройств Azure (DRS). Azure DRS возвращает документ с данными обнаружения, который возвращает URI, зависящие от клиента, для завершения регистрации устройства. |
| F | Приложение создает ограниченную доверенным платформенным модулем (предпочтительным) пару ключей RSA длиной 2048 разрядов, называемую ключом устройства (dkpub и dkpriv). Приложение создает запрос на сертификат с помощью ключа dkpub и открытого ключа и подписывает запрос на сертификат с помощью ключа dkpriv. Затем приложение создает вторую производную пару ключей на основе корневого ключа хранилища доверенного платформенного модуля. Этот ключ является ключом транспорта (tkpub и tkpriv). |
| G | Приложение отправляет в Azure DRS запрос на регистрацию устройства, включающий маркер идентификатора, запрос на сертификат, ключ tkpub и данные аттестации. Azure DRS проверяет маркер идентификатора, создает идентификатор устройства, а также создает сертификат на основе включенного запроса на сертификат. Затем Azure DRS записывает объект устройства в идентификатор Microsoft Entra ID и отправляет идентификатор устройства и сертификат устройства клиенту. |
| H | Регистрация устройства завершается после получения идентификатора устройства и сертификата устройства из Azure DRS. Система сохраняет идентификатор устройства для дальнейшего использования (его можно просмотреть в dsregcmd.exe /status) и устанавливает сертификат устройства в личное хранилище компьютера. После завершения регистрации устройства процесс будет продолжен с этапа регистрации в MDM. |
Microsoft Entra, присоединенная в федеративных средах
| Этап | Description |
|---|---|
| а | Наиболее распространенный способ регистрации устройств, присоединенных к Microsoft Entra, — во время встроенного интерфейса (OOBE), где он загружает веб-приложение microsoft Entra join в приложении "Узел облачного интерфейса" (CXH). Приложение отправляет запрос GET в конечную точку конфигурации Microsoft Entra OpenID для обнаружения конечных точек авторизации. Идентификатор Microsoft Entra возвращает конфигурацию OpenID, которая включает конечные точки авторизации в приложение в виде документа JSON. |
| Б | Приложение создает запрос на вход для конечной точки авторизации и собирает учетные данные пользователей. |
| C | После того как пользователь предоставит имя пользователя (в формате имени участника-пользователя), приложение отправляет запрос GET в идентификатор Microsoft Entra, чтобы обнаружить соответствующие сведения о области для пользователя. На основании этой информации можно определить вид среды — управляемая или федеративная. Идентификатор Microsoft Entra возвращает сведения в объекте JSON. Приложение определяет, что среда является федеративной. Для приложения выполняется перенаправление согласно значению AuthURL (соответствующему локальной странице входа в систему STS) в возвращенном объекте области определения приложения JSON. Приложение собирает учетные данные с помощью веб-страницы STS. |
| D | Приложение POST учетные данные для локальной службы безопасности, которая может потребовать дополнительных факторов проверки подлинности. Локальная служба STS выполняет проверку подлинности пользователя и возвращает маркер. Приложение posts маркер в идентификатор Microsoft Entra для проверки подлинности. Идентификатор Microsoft Entra проверяет маркер и возвращает маркер идентификатора с утверждениями. |
| E | Приложение ищет условия использования MDM (утверждение mdm_tou_url). Если они есть, приложение получает условия использования из значения утверждения, предоставляет содержимое пользователю и ожидает, пока пользователь примет условия использования. Это действие не является обязательным. Оно будет пропущено, если утверждения нет либо если значение утверждения пустое. |
| F | Приложение отправляет запрос на обнаружение регистрации устройств в службу регистрации устройств Azure (DRS). Azure DRS возвращает документ с данными обнаружения, который возвращает URI, зависящие от клиента, для завершения регистрации устройства. |
| G | Приложение создает ограниченную доверенным платформенным модулем (предпочтительным) пару ключей RSA длиной 2048 разрядов, называемую ключом устройства (dkpub и dkpriv). Приложение создает запрос на сертификат с помощью ключа dkpub и открытого ключа и подписывает запрос на сертификат с помощью ключа dkpriv. Затем приложение создает вторую производную пару ключей на основе корневого ключа хранилища доверенного платформенного модуля. Этот ключ является ключом транспорта (tkpub и tkpriv). |
| H | Приложение отправляет в Azure DRS запрос на регистрацию устройства, включающий маркер идентификатора, запрос на сертификат, ключ tkpub и данные аттестации. Azure DRS проверяет маркер идентификатора, создает идентификатор устройства, а также создает сертификат на основе включенного запроса на сертификат. Затем Azure DRS записывает объект устройства в идентификатор Microsoft Entra ID и отправляет идентификатор устройства и сертификат устройства клиенту. |
| I | Регистрация устройства завершается после получения идентификатора устройства и сертификата устройства из Azure DRS. Система сохраняет идентификатор устройства для дальнейшего использования (его можно просмотреть в dsregcmd.exe /status) и устанавливает сертификат устройства в личное хранилище компьютера. После завершения регистрации устройства процесс будет продолжен с этапа регистрации в MDM. |
Гибридное присоединение Microsoft Entra в управляемых средах
| Этап | Description |
|---|---|
| а | Используя учетные данные домена, пользователь выполняет вход в систему на компьютере с ОС Windows 10 или более поздней версии, присоединенном к домену. Эти учетные данные могут представлять собой имя пользователя и пароль либо процедуру проверки подлинности с использованием смарт-карты. При входе пользователя в систему запускается задача автоматического присоединения устройства. При присоединении к домену система запускает задачи автоматического присоединения устройства и повторно выполняет их каждый час. Этот процесс зависит не только от входа пользователя в систему. |
| Б | Задача запрашивает Active Directory с использованием протокола LDAP для атрибута keywords в точке подключения к службе, хранящейся в разделе конфигурации в Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Значение, возвращаемое в атрибуте ключевых слов, определяет, направляется ли регистрация устройства в службу регистрации устройств Azure (DRS) или службу регистрации корпоративных устройств, размещенную локально. |
| C | Для управляемой среды задача создает первоначальные учетные данные проверки подлинности в форме самозаверяющего сертификата. Задача записывает сертификат в атрибут userCertificate объекта компьютера в Active Directory с использованием протокола LDAP. |
| D | Компьютер не может пройти проверку подлинности в Azure DRS, пока объект устройства, представляющий компьютер, содержащий сертификат в атрибуте userCertificate, создается в идентификаторе Microsoft Entra. Microsoft Entra Connect обнаруживает изменение атрибута. В следующем цикле синхронизации Microsoft Entra Connect отправляет userCertificate, GUID объекта и идентификатор безопасности компьютера в Azure DRS. Azure DRS использует сведения о атрибуте для создания объекта устройства в идентификаторе Microsoft Entra. |
| E | Задача "Автоматическое присоединение к устройству" активируется при каждом входе пользователя или каждый час и пытается пройти проверку подлинности компьютера в идентификаторе Microsoft Entra с помощью соответствующего закрытого ключа открытого ключа в атрибуте userCertificate. Microsoft Entra проверяет подлинность компьютера и выдает маркер идентификатора компьютеру. |
| F | Задача создает ограниченную доверенным платформенным модулем (предпочтительным) пару ключей RSA длиной 2048 разрядов, называемую ключом устройства (dkpub и dkpriv). Приложение создает запрос на сертификат с помощью ключа dkpub и открытого ключа и подписывает запрос на сертификат с помощью ключа dkpriv. Затем приложение создает вторую производную пару ключей на основе корневого ключа хранилища доверенного платформенного модуля. Этот ключ является ключом транспорта (tkpub и tkpriv). |
| G | Задача отправляет в Azure DRS запрос на регистрацию устройства, включающий маркер идентификатора, запрос на сертификат, ключ tkpub и данные аттестации. Azure DRS проверяет маркер идентификатора, создает идентификатор устройства, а также создает сертификат на основе включенного запроса на сертификат. Затем Azure DRS обновляет объект устройства в идентификаторе Microsoft Entra и отправляет идентификатор устройства и сертификат устройства клиенту. |
| H | Регистрация устройства завершается после получения идентификатора устройства и сертификата устройства из Azure DRS. Система сохраняет идентификатор устройства для дальнейшего использования (его можно просмотреть в dsregcmd.exe /status) и устанавливает сертификат устройства в личное хранилище компьютера. После завершения регистрации устройства задача выполняет выход. |
Гибридное присоединение Microsoft Entra в федеративных средах
| Этап | Description |
|---|---|
| а | Используя учетные данные домена, пользователь выполняет вход в систему на компьютере с ОС Windows 10 или более поздней версии, присоединенном к домену. Эти учетные данные могут представлять собой имя пользователя и пароль либо процедуру проверки подлинности с использованием смарт-карты. При входе пользователя в систему запускается задача автоматического присоединения устройства. При присоединении к домену система запускает задачи автоматического присоединения устройства и повторно выполняет их каждый час. Этот процесс зависит не только от входа пользователя в систему. |
| Б | Задача запрашивает Active Directory с использованием протокола LDAP для атрибута keywords в точке подключения к службе, хранящейся в разделе конфигурации в Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Значение, возвращаемое в атрибуте ключевых слов, определяет, направляется ли регистрация устройства в службу регистрации устройств Azure (DRS) или службу регистрации корпоративных устройств, размещенную локально. |
| C | При работе с федеративными средами компьютер проверяет подлинность конечной точки регистрации корпоративного устройства, используя встроенную функцию проверки подлинности Windows. Служба регистрации корпоративных устройств создает и возвращает маркер, включающий утверждения для GUID объекта, SID компьютера и сведения о состоянии присоединения к домену. Задача отправляет маркер и утверждения в идентификатор Microsoft Entra, где они проверяются. Идентификатор Microsoft Entra возвращает маркер идентификатора в выполняемую задачу. |
| D | Приложение создает ограниченную доверенным платформенным модулем (предпочтительным) пару ключей RSA длиной 2048 разрядов, называемую ключом устройства (dkpub и dkpriv). Приложение создает запрос на сертификат с помощью ключа dkpub и открытого ключа и подписывает запрос на сертификат с помощью ключа dkpriv. Затем приложение создает вторую производную пару ключей на основе корневого ключа хранилища доверенного платформенного модуля. Этот ключ является ключом транспорта (tkpub и tkpriv). |
| E | Чтобы обеспечить единый вход для локального федеративного приложения, задача запрашивает корпоративный PRT из локальной службы STS. Windows Server 2016, на котором работает роль служб федерации Active Directory (AD FS), проверяет запрос и возвращает его выполняющейся задаче. |
| F | Задача отправляет в Azure DRS запрос на регистрацию устройства, включающий маркер идентификатора, запрос на сертификат, ключ tkpub и данные аттестации. Azure DRS проверяет маркер идентификатора, создает идентификатор устройства, а также создает сертификат на основе включенного запроса на сертификат. Затем Azure DRS записывает объект устройства в идентификатор Microsoft Entra ID и отправляет идентификатор устройства и сертификат устройства клиенту. Регистрация устройства завершается после получения идентификатора устройства и сертификата устройства из Azure DRS. Система сохраняет идентификатор устройства для дальнейшего использования (его можно просмотреть в dsregcmd.exe /status) и устанавливает сертификат устройства в личное хранилище компьютера. После завершения регистрации устройства задача выполняет выход. |
| G | Если включена обратная запись устройства Microsoft Entra Connect, Microsoft Entra Connect запрашивает обновления от идентификатора Microsoft Entra в следующем цикле синхронизации (обратная запись устройства требуется для гибридного развертывания с использованием доверия сертификатов). Идентификатор Microsoft Entra сопоставляет объект устройства с соответствующим синхронизированным компьютерным объектом. Microsoft Entra Connect получает объект устройства, который включает идентификатор GUID объекта и идентификатор безопасности компьютера и записывает объект устройства в Active Directory. |