運作方式:裝置註冊
裝置註冊是雲端式驗證的先決條件。 通常,裝置會透過 Microsoft Entra ID 加入,或通過 Microsoft Entra 混合加入,來完成裝置註冊。 本文詳細介紹了 Microsoft Entra 加入和 Microsoft Entra 混合加入如何在受控和同盟環境中運作。 有關 Microsoft Entra 驗證如何在這些裝置上運作的相關詳細資訊,請參閱主要重新整理權杖一文。
Microsoft Entra 加入受控環境
| 階段 | 描述 |
|---|---|
| A | 裝置加入 Microsoft Entra ID 的最常見註冊方式,是在開箱體驗 (OOBE) 期間,於雲端體驗主機 (CXH) 應用程式中載入 Microsoft Entra 聯結網頁應用程式。 該應用程式會將 GET 要求傳送至 Microsoft Entra OpenID 設定端點,以探索授權端點。 Microsoft Entra ID 會將包含授權端點的 OpenID 設定傳回給應用程式,以做為 JSON 文件。 |
| B | 應用程式會為授權端點建置登入要求,並收集使用者認證。 |
| C | 在使用者提供其使用者主體名稱 (UPN) 後,應用程式會向 Microsoft Entra ID 傳送 GET 要求,以探索使用者的對應領域資訊。 此資訊用於判斷環境是受管理的還是聯邦的。 Microsoft Entra ID 會傳回 JSON 物件中的資訊。 應用程式判斷環境為受管理狀態(非聯邦)。 此階段中的最後一個步驟是讓應用程式建立驗證緩衝區,並在 OOBE 中暫時快取,以便在 OOBE 結束時自動登入。 應用程式會將認證發佈 (POST) 到 Microsoft Entra ID,並在其中進行驗證。 Microsoft Entra ID 會傳回具有宣告的識別符號。 |
| D | 應用程式會尋找行動裝置管理 (MDM) 的使用條款,尤其是 mdm_tou_url 聲明。 如果存在,則應用程式會從宣告的值中擷取使用規定、將內容呈現給使用者,以及等待使用者接受使用規定。 此步驟是選擇性的,如果宣告不存在或宣告值是空的,則會略過此步驟。 |
| E | 應用程式會將裝置註冊探索要求傳送至 Azure 裝置註冊服務 (DRS)。 Azure DRS 會傳回探索資料文件,其會傳回租用戶特定的 URI 以完成裝置註冊。 |
| F | 應用程式會建立 TPM 繫結 (慣用) RSA 2048 位元金鑰組,稱為裝置金鑰 (dkpub/dkpriv)。 應用程式會使用 dkpub 和公開金鑰建立憑證要求,並使用 dkpriv 來簽署憑證要求。 接下來,應用程式會從 TPM 的儲存體根金鑰衍生第二個金鑰組。 此金鑰是傳輸金鑰 (tkpub/tkpriv)。 |
| G | 應用程式會將裝置註冊要求傳送到 Azure DRS,其中包含識別碼權杖、憑證要求、tkpub 和證明資料。 Azure DRS 會驗證識別碼權杖、建立裝置識別碼,並根據內含的憑證要求建立憑證。 Azure DRS 接著會在 Microsoft Entra ID 中寫入裝置物件,並將裝置識別碼和裝置憑證傳送給用戶端。 |
| H | 裝置註冊的完成方式是從 Azure DRS 接收裝置識別碼和裝置憑證。 裝置識別碼會儲存供日後參考 (可從 dsregcmd.exe /status 檢視),而裝置憑證則會安裝在電腦的個人存放區中。 裝置註冊完成後,程序會繼續進行 MDM 註冊。 |
Microsoft Entra 加入同盟環境中
| 階段 | 描述 |
|---|---|
| A | Microsoft Entra 加入裝置的最常見註冊方式,是在開箱體驗 (OOBE) 期間,於雲端體驗主機 (CXH) 應用程式中載入 Microsoft Entra 加入的網頁應用程式。 該應用程式會將 GET 要求傳送至 Microsoft Entra OpenID 設定端點,以探索授權端點。 Microsoft Entra ID 會將包含授權端點的 OpenID 設定傳回給應用程式,以做為 JSON 文件。 |
| B | 應用程式會為授權端點建置登入要求,並收集使用者認證。 |
| C | 在使用者提供其使用者名稱 (以 UPN 格式) 之後,應用程式會將 GET 要求傳送至 Microsoft Entra ID,以探索使用者的對應領域資訊。 這項資訊決定環境的類型是否為受控或同盟。 Microsoft Entra ID 會傳回 JSON 物件中的資訊。 應用程式會判定環境為聯邦環境。 應用程式會重新導向至傳回 JSON 領域物件中的 AuthURL 值 (內部部署 STS 登入頁面)。 應用程式會透過 STS 網頁來收集認證。 |
| D | 應用程式會將認證傳送至內部部署 STS 服務,這可能需要多重驗證。 內部部署 STS 會驗證使用者身份並傳回令牌。 應用程式會將令牌傳送到 Microsoft Entra ID 以進行驗證。 Microsoft Entra ID 會驗證權杖,並傳回具有宣告的 ID 權杖。 |
| E | 應用程式會尋找 MDM 使用規定 (mdm_tou_url 聲明)。 如果存在,則應用程式會從宣告的值中擷取使用規定、將內容呈現給使用者,以及等待使用者接受使用規定。 此步驟是選擇性的,如果宣告不存在或宣告值是空的,則會略過此步驟。 |
| F | 應用程式會將裝置註冊探索要求傳送至 Azure 裝置註冊服務 (DRS)。 Azure DRS 會傳回探索資料文件,其會傳回租用戶特定的 URI 以完成裝置註冊。 |
| G | 應用程式會建立 TPM 繫結 (慣用) RSA 2048 位元金鑰組,稱為裝置金鑰 (dkpub/dkpriv)。 應用程式會使用 dkpub 和公開金鑰建立憑證要求,並使用 dkpriv 來簽署憑證要求。 接下來,應用程式會從 TPM 的儲存體根金鑰衍生第二個金鑰組。 此金鑰是傳輸金鑰 (tkpub/tkpriv)。 |
| H | 應用程式會將裝置註冊要求傳送到 Azure DRS,其中包含識別碼權杖、憑證要求、tkpub 和證明資料。 Azure DRS 會驗證識別碼權杖、建立裝置識別碼,並根據內含的憑證要求建立憑證。 Azure DRS 接著會在 Microsoft Entra ID 中寫入裝置物件,並將裝置識別碼和裝置憑證傳送給用戶端。 |
| 我 | 裝置註冊的完成方式是從 Azure DRS 接收裝置識別碼和裝置憑證。 裝置識別碼會儲存供日後參考 (可從 dsregcmd.exe /status 檢視),而裝置憑證則會安裝在電腦的個人存放區中。 裝置註冊完成後,程序會繼續進行 MDM 註冊。 |
Microsoft Entra 混合加入在受控環境中
| 階段 | 描述 |
|---|---|
| A | 使用者使用網域憑證登入已加入網域的 Windows 10 或更新版本的電腦。 此認證可以是使用者名稱和密碼或智慧卡驗證。 使用者登入會觸發自動裝置加入任務。 自動裝置加入工作會在加入網域時觸發,並每小時重試一次。 其不會完全取決於使用者登入。 |
| B | 工作會使用 LDAP 通訊協定,查詢 Active Directory 中設定分割區內儲存的服務連接點上的關鍵字屬性 (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com)。 關鍵字屬性中所傳回的值會決定是否將裝置註冊導向至 Azure 裝置註冊服務 (DRS) 或裝載於內部部署的企業裝置註冊服務。 |
| C | 針對受控環境,此工作會以自我簽署憑證的形式建立初始驗證認證。 工作會使用 LDAP 將憑證寫入 Active Directory 電腦物件上的 userCertificate 屬性。 |
| D | 在 Microsoft Entra ID 中創建包含 userCertificate 屬性上憑證的電腦的裝置物件之前,電腦無法向 Azure DRS 進行驗證。 Microsoft Entra Connect 會偵測到屬性變更。 在下一個同步處理週期中,Microsoft Entra Connect 會將 userCertificate、物件 GUID 和電腦 SID 傳送到 Azure DRS。 Azure DRS 會使用屬性資訊,在 Microsoft Entra ID 中建立裝置物件。 |
| E | 自動裝置加入工作會在每個使用者登入時或每個小時啟動,並嘗試使用 userCertificate 屬性中公用金鑰所符合的私密金鑰驗證電腦,以進行 Microsoft Entra ID 認證。 Microsoft Entra 會驗證電腦,並向電腦發出 ID 權杖。 |
| F | 工作會建立 TPM 繫結 (慣用) RSA 2048 位元金鑰組,稱為裝置金鑰 (dkpub/dkpriv)。 應用程式會使用 dkpub 和公開金鑰建立憑證要求,並使用 dkpriv 來簽署憑證要求。 接下來,應用程式會從 TPM 的儲存體根金鑰衍生第二個金鑰組。 此金鑰是傳輸金鑰 (tkpub/tkpriv)。 |
| G | 此作業會將裝置註冊要求傳送到 Azure DRS,其中包含識別碼權杖、憑證要求、tkpub 和證明資料。 Azure DRS 會驗證識別碼權杖、建立裝置識別碼,並根據內含的憑證要求建立憑證。 Azure DRS 接著會在 Microsoft Entra ID 中更新裝置物件,並將裝置識別碼和裝置憑證傳送給用戶端。 |
| H | 裝置註冊的完成方式是從 Azure DRS 接收裝置識別碼和裝置憑證。 裝置識別碼會儲存供日後參考 (可從 dsregcmd.exe /status 檢視),而裝置憑證則會安裝在電腦的個人存放區中。 裝置註冊完成後,工作就會結束。 |
在同盟環境中混合加入 Microsoft Entra
| 階段 | 描述 |
|---|---|
| A | 使用者以網域認證登入已加入網域的 Windows 10 或更新版本的電腦。 此認證可以是使用者名稱和密碼或智慧卡驗證。 使用者登入會觸發自動裝置加入工作。 自動裝置加入工作會在加入網域時觸發,並每小時重試一次。 其不會完全取決於使用者登入。 |
| B | 工作會使用 LDAP 通訊協定來查詢 Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com) 中配置分割區的服務連接點上的關鍵字屬性。 關鍵字屬性中所傳回的值會決定是否將裝置註冊導向至 Azure 裝置註冊服務 (DRS) 或裝載於內部部署的企業裝置註冊服務。 |
| C | 在同盟環境中,電腦會使用 Windows 整合式驗證來驗證企業裝置註冊端點。 企業裝置註冊服務會建立並傳回權杖,其中包含物件 GUID、電腦 SID 和已加入網域狀態的宣告。 此工作會將令牌和聲明提交給 Microsoft Entra ID,並在那裡進行驗證。 Microsoft Entra ID 會將 ID 權杖傳回給執行中的工作。 |
| D | 應用程式會建立 TPM 繫結 (慣用) RSA 2048 位元金鑰組,稱為裝置金鑰 (dkpub/dkpriv)。 應用程式會使用 dkpub 和公開金鑰建立憑證要求,並使用 dkpriv 來簽署憑證要求。 接下來,應用程式會從 TPM 的儲存體根金鑰衍生第二個金鑰組。 此金鑰是傳輸金鑰 (tkpub/tkpriv)。 |
| E | 為了提供內部部署同盟應用程式的 SSO,系統會向內部部署的 STS 請求企業 PRT。 Windows Server 2016 執行 Active Directory 同盟服務角色會驗證要求,並將其傳回給執行中的工作。 |
| F | 任務會將裝置註冊要求傳送到 Azure DRS,該要求包含 ID 權杖、憑證請求、tkpub 和證明數據。 Azure DRS 會驗證識別碼權杖、建立裝置識別碼,並根據內含的憑證要求建立憑證。 Azure DRS 接著會在 Microsoft Entra ID 中寫入裝置物件,並將裝置識別碼和裝置憑證傳送給用戶端。 裝置註冊的完成方式是從 Azure DRS 接收裝置識別碼和裝置憑證。 裝置識別碼會儲存供日後參考 (可從 dsregcmd.exe /status 檢視),而裝置憑證則會安裝在電腦的個人存放區中。 裝置註冊完成後,工作就會結束。 |
| G | 如果已啟用 Microsoft Entra Connect 裝置回寫,則 Microsoft Entra Connect 會在其下一個同步處理週期 (使用憑證信任進行混合式部署需要裝置回寫) 從 Microsoft Entra ID 要求更新。 Microsoft Entra ID 會將裝置物件與相符的已同步處理電腦物件相互關聯。 Microsoft Entra Connect 會接收包含物件 GUID 和電腦 SID 的裝置物件,並將裝置物件寫入 Active Directory。 |