Qu’est-ce qu’un jeton d’actualisation principal ?What is a Primary Refresh Token?

Un jeton d’actualisation principal (PRT) est un artefact clé d’authentification Azure AD sur les appareils Windows 10, Windows Server 2016 et versions ultérieures, iOS et Android.A Primary Refresh Token (PRT) is a key artifact of Azure AD authentication on Windows 10, Windows Server 2016 and later versions, iOS, and Android devices. Il s’agit d’un jeton JSON Web Token (JWT) émis spécialement pour les brokers à jetons Microsoft internes, qui permet d’activer l’authentification unique (SSO) sur les applications utilisées sur ces appareils.It is a JSON Web Token (JWT) specially issued to Microsoft first party token brokers to enable single sign-on (SSO) across the applications used on those devices. Cet article explique en détail comment un PRT est émis, utilisé et protégé sur les appareils Windows 10.In this article, we will provide details on how a PRT is issued, used, and protected on Windows 10 devices.

Cet article suppose que vous connaissez déjà les différents états des appareils disponibles dans Azure AD ainsi que le fonctionnement de l’authentification unique sous Windows 10.This article assumes that you already understand the different device states available in Azure AD and how single sign-on works in Windows 10. Pour plus d’informations sur les appareils dans Azure AD, consultez l’article Présentation de la gestion des appareils dans Azure Active Directory.For more information about devices in Azure AD, see the article What is device management in Azure Active Directory?

Terminologie et composants clésKey terminology and components

Les composants Windows suivants jouent un rôle clé dans la demande et l’utilisation d’un PRT :The following Windows components play a key role in requesting and using a PRT:

  • Fournisseur d’authentification cloud (CloudAP): CloudAP est un fournisseur d’authentification moderne pour les connexions Windows. Il vérifie l’identité des utilisateurs ouvrant une session sur un appareil Windows 10.Cloud Authentication Provider (CloudAP): CloudAP is the modern authentication provider for Windows sign in, that verifies users logging to a Windows 10 device. CloudAP fournit une infrastructure de plug-in sur laquelle les fournisseurs d’identités peuvent s’appuyer pour activer l’authentification à Windows avec les informations d’identification de ce fournisseur d’identité.CloudAP provides a plugin framework that identity providers can build on to enable authentication to Windows using that identity provider’s credentials.
  • Gestonnaire de comptes web (WAM): WAM est le broker à jetons par défaut sur les appareils Windows 10.Web Account Manager (WAM): WAM is the default token broker on Windows 10 devices. WAM fournit également une infrastructure de plug-in sur laquelle les fournisseurs d’identités peuvent s’appuyer pour activer l’authentification unique sur les applications qui en dépendent.WAM also provides a plugin framework that identity providers can build on and enable SSO to their applications relying on that identity provider.
  • Plug-in Azure AD CloudAP : Un plug-in propre à Azure AD basé sur l’infrastructure CloudAP, qui vérifie les informations d’identification de l’utilisateur avec Azure AD pendant la connexion à Windows.Azure AD CloudAP plugin: An Azure AD specific plugin built on the CloudAP framework, that verifies user credentials with Azure AD during Windows sign in.
  • Plug-in Azure AD WAM : Un plug-in propre à Azure AD basé sur l’infrastructure WAM, qui active l’authentification unique s’appuyant sur Azure AD pour l’authentification.Azure AD WAM plugin: An Azure AD specific plugin built on the WAM framework, that enables SSO to applications that rely on Azure AD for authentication.
  • Dsreg : Un composant spécifique d’Azure AD sur Windows 10, qui gère le processus d’inscription de l’appareil quel que soit son état.Dsreg: An Azure AD specific component on Windows 10, that handles the device registration process for all device states.
  • Module de plateforme sécurisée (TPM) : Un TPM est un composant matériel intégré à un appareil, qui fournit des fonctions de sécurité matérielles pour les clés secrètes d’utilisateur et d’appareil.Trusted Platform Module (TPM): A TPM is a hardware component built into a device, that provides hardware-based security functions for user and device secrets. Vous trouverez plus de détails dans l’article présentant une vue d’ensemble de la technologie de module de plateforme sécurisée (TPM).More details can be found in the article Trusted Platform Module Technology Overview.

Que contient le PRT ?What does the PRT contain?

Un PRT contient les revendications généralement contenues dans n’importe quel jeton d’actualisation Azure AD.A PRT contains claims generally contained in any Azure AD refresh token. En outre, certaines revendications propres aux appareils sont incluses dans le PRT.In addition, there are some device-specific claims included in the PRT. Les voici :They are as follows:

  • ID d’appareil : Un PRT est émis pour un utilisateur sur un appareil spécifique.Device ID: A PRT is issued to a user on a specific device. La revendication d’ID d’appareil deviceID détermine l’appareil sur lequel le PRT a été émis pour l’utilisateur.The device ID claim deviceID determines the device the PRT was issued to the user on. Cette revendication est émise ultérieurement dans les jetons obtenus via la PRT.This claim is later issued to tokens obtained via the PRT. La revendication d’ID d’appareil est utilisée pour déterminer l’autorisation d’accès conditionnel en fonction de l’état de l’appareil ou de sa conformité.The device ID claim is used to determine authorization for Conditional Access based on device state or compliance.
  • Clé de session : La clé de session est une clé symétrique chiffrée, générée par le service d’authentification Azure AD, émise en même temps que le PRT.Session key: The session key is an encrypted symmetric key, generated by the Azure AD authentication service, issued as part of the PRT. La clé de session sert de preuve de possession lorsqu’un PRT est utilisé pour obtenir des jetons pour d’autres applications.The session key acts as the proof of possession when a PRT is used to obtain tokens for other applications.

Puis-je voir de quoi se compose un PRT ?Can I see what’s in a PRT?

Un PRT est un objet blob opaque, envoyé à partir d’Azure AD, dont le contenu n’est connu d’aucun composant client.A PRT is an opaque blob sent from Azure AD whose contents are not known to any client components. Vous ne pouvez ce qu’un PRT contient.You cannot see what’s inside a PRT.

Comment un PRT est-il émis ?How is a PRT issued?

L’inscription de l’appareil est un prérequis pour l’authentification basée sur les appareils dans Azure AD.Device registration is a prerequisite for device based authentication in Azure AD. Un PRT est émis pour les utilisateurs uniquement sur les appareils inscrits.A PRT is issued to users only on registered devices. Pour plus de détails sur l’inscription des appareils, consultez l’article sur Windows Hello Entreprise et l’inscription des appareils.For more in-depth details on device registration, see the article Windows Hello for Business and Device Registration. Pendant l’inscription d’un appareil, le composant dsreg génère deux ensembles de paires de clés de chiffrement :During device registration, the dsreg component generates two sets of cryptographic key pairs:

  • Clé d’appareil (dkpub/dkpriv)Device key (dkpub/dkpriv)
  • Clé de transport (tkpub/tkpriv)Transport key (tkpub/tkpriv)

Les clés privées sont liées au TPM de l’appareil si ce dernier dispose d’un TPM valide et fonctionnel, tandis que les clés publiques sont envoyées à Azure AD pendant le processus d’inscription de l’appareil.The private keys are bound to the device’s TPM if the device has a valid and functioning TPM, while the public keys are sent to Azure AD during the device registration process. Ces clés sont utilisées pour valider l’état de l’appareil en cas de demande de PRT.These keys are used to validate the device state during PRT requests.

Le PRT est émis lors de l’authentification de l’utilisateur sur un appareil Windows 10 dans deux scénarios :The PRT is issued during user authentication on a Windows 10 device in two scenarios:

  • Appareil joint à Azure AD ou à Azure AD hybride : Un PRT est émis au cours de l’ouverture de session Windows lorsqu’un utilisateur se connecte avec ses informations d’identification de leur organisation.Azure AD joined or Hybrid Azure AD joined: A PRT is issued during Windows logon when a user signs in with their organization credentials. Un PRT est émis avec toutes les informations d’identification prises en charge par Windows 10, par exemple, un mot de passe et Windows Hello Entreprise.A PRT is issued with all Windows 10 supported credentials, for example, password and Windows Hello for Business. Dans ce scénario, le plug-in Azure AD CloudAP est l’autorité principale pour le PRT.In this scenario, Azure AD CloudAP plugin is the primary authority for the PRT.
  • Appareil inscrit sur Azure AD : Un PRT est émis lorsqu’un utilisateur ajoute un compte professionnel secondaire sur leur appareil Windows 10.Azure AD registered device: A PRT is issued when a user adds a secondary work account to their Windows 10 device. Les utilisateurs peuvent ajouter un compte à Windows 10 de deux manières différentes :Users can add an account to Windows 10 in two different ways -
    • Ajout d’un compte via l’invite Utiliser ce compte partout sur votre appareil après vous être connecté à une application (par exemple Outlook)Adding an account via the Use this account everywhere on this device prompt after signing in to an app (for example, Outlook)
    • Ajout d’un compte depuis Paramètres > Comptes > Accès Professionnel ou Scolaire > Se connecterAdding an account from Settings > Accounts > Access Work or School > Connect

Dans les scénarios avec appareils inscrits dans Azure AD, le plug-in Azure AD WAM est l’autorité principale pour le PRT puisque l’ouverture de session Windows n’utilise pas ce compte Azure AD.In Azure AD registered device scenarios, the Azure AD WAM plugin is the primary authority for the PRT since Windows logon is not happening with this Azure AD account.

Notes

Les fournisseurs d’identités tiers doivent prendre en charge le protocole WS-Trust pour autoriser l’émission d’un PRT sur les appareils Windows 10.3rd party identity providers need to support the WS-Trust protocol to enable PRT issuance on Windows 10 devices. Sans WS-Trust, le PRT ne peut pas être émis pour les utilisateurs sur les appareils faisant l’objet d’une jonction hybride Azure AD ou sur les appareils joints à Azure AD.Without WS-Trust, PRT cannot be issued to users on Hybrid Azure AD joined or Azure AD joined devices. Sur ADFS, seuls les points de terminaison usernamemixed sont nécessaires.On ADFS only usernamemixed endpoints are required. adfs/services/trust/2005/windowstransport et adfs/services/trust/13/windowstransport doivent tous les deux être activés en tant que points de terminaison uniquement accessibles sur intranet. Ils NE doivent PAS être exposés en tant que points de terminaison accessibles sur extranet via le proxy d’application webBoth adfs/services/trust/2005/windowstransport and adfs/services/trust/13/windowstransport should be enabled as intranet facing endpoints only and must NOT be exposed as extranet facing endpoints through the Web Application Proxy

Quelle est la durée de validité d’un PRT ?What is the lifetime of a PRT?

Une fois émis, un PRT est valide pendant 14 jours et il est renouvelé en continu tant que l’utilisateur utilise activement l’appareil.Once issued, a PRT is valid for 14 days and is continuously renewed as long as the user actively uses the device.

Comment un PRT est-il utilisé ?How is a PRT used?

Un PRT est utilisé par deux composants clés dans Windows :A PRT is used by two key components in Windows:

  • Plug-in Azure AD CloudAP : Pendant la connexion à Windows, le plug-in Azure AD CloudAP fait une demande de PRT depuis Azure AD en utilisant les informations d’identification fournies par l’utilisateur.Azure AD CloudAP plugin: During Windows sign in, the Azure AD CloudAP plugin requests a PRT from Azure AD using the credentials provided by the user. Il met également en cache le PRT pour permettre la connexion avec des informations mises en cache lorsque l’utilisateur n’a pas accès à une connexion internet.It also caches the PRT to enable cached sign in when the user does not have access to an internet connection.
  • Plug-in Azure AD WAM : Lorsque les utilisateurs tentent d’accéder aux applications, le plug-in Azure AD WAM utilise le PRT pour activer l’authentification unique sur Windows 10.Azure AD WAM plugin: When users try to access applications, the Azure AD WAM plugin uses the PRT to enable SSO on Windows 10. Le plug-in Azure AD WAM utilise le PRT pour demander des jetons d’actualisation et d’accès pour les applications qui s’appuient sur WAM pour les demandes de jeton.Azure AD WAM plugin uses the PRT to request refresh and access tokens for applications that rely on WAM for token requests. Il active également l’authentification unique sur les navigateurs en injectant le PRT dans les demandes de navigateur.It also enables SSO on browsers by injecting the PRT into browser requests. L’authentification unique de navigateur dans Windows 10 est prise en charge sur Microsoft Edge (en natif) et Chrome (via les extensions Windows 10 Accounts ou Office Online).Browser SSO in Windows 10 is supported on Microsoft Edge (natively) and Chrome (via the Windows 10 Accounts or Office Online extensions).

Comment un PRT est-il renouvelé ?How is a PRT renewed?

Un PRT est renouvelé selon deux méthodes différentes :A PRT is renewed in two different methods:

  • Plug-in Azure AD CloudAP toutes les 4 heures : Le plug-in CloudAP renouvelle le PRT toutes les 4 heures pendant la connexion Windows.Azure AD CloudAP plugin every 4 hours: The CloudAP plugin renews the PRT every 4 hours during Windows sign in. Si l’utilisateur n’a pas de connexion Internet pendant ce temps, le plug-in CloudAP renouvellera le PRT une fois que l’appareil se sera connecté à Internet.If the user does not have internet connection during that time, CloudAP plugin will renew the PRT after the device is connected to the internet.
  • Plug-in Azure AD WAM pendant les demandes de jeton d’application : Le plug-in WAM permet l’authentification unique sur les appareils Windows 10 en activant les demandes de jeton silencieuses pour les applications.Azure AD WAM plugin during app token requests: The WAM plugin enables SSO on Windows 10 devices by enabling silent token requests for applications. Le plug-in WAM peut renouveler le PRT pendant ces demandes de jeton de deux manières différentes :The WAM plugin can renew the PRT during these token requests in two different ways:
    • Une application demande au plug-in WAM un jeton d’accès silencieusement, mais aucun jeton d’actualisation n’est disponible pour cette application.An app requests WAM for an access token silently but there’s no refresh token available for that app. Dans ce cas, WAM utilise le PRT pour demander un jeton pour l’application et récupère un nouveau PRT dans la réponse.In this case, WAM uses the PRT to request a token for the app and gets back a new PRT in the response.
    • Une application demande un jeton d’accès au plug-in WAM, mais le PRT n’est pas valide ou Azure AD requiert une autorisation supplémentaire (par exemple Azure AD Multi-Factor Authentication).An app requests WAM for an access token but the PRT is invalid or Azure AD requires additional authorization (for example, Azure AD Multi-Factor Authentication). Dans ce scénario, WAM lance une ouverture de session interactive qui oblige l’utilisateur à s’authentifier de nouveau ou à effectuer une vérification supplémentaire, et un nouveau PRT est émis en cas d’authentification réussie.In this scenario, WAM initiates an interactive logon requiring the user to reauthenticate or provide additional verification and a new PRT is issued on successful authentication.

Dans un environnement ADFS, une ligne de vue directe sur le contrôleur de domaine n’est pas nécessaire pour renouveler le PRT.In an ADFS environment, direct line of sight to the domain controller isn't required to renew the PRT. Le renouvellement du PRT requiert uniquement des points de terminaison /adfs/services/trust/2005/usernamemixed and /adfs/services/trust/13/usernamemixed activés sur le proxy à l’aide du protocole WS-Trust.PRT renewal requires only /adfs/services/trust/2005/usernamemixed and /adfs/services/trust/13/usernamemixed endpoints enabled on proxy by using WS-Trust protocol.

Des points de terminaison de transport Windows sont requis pour l’authentification par mot de passe uniquement si un mot de passe est modifié, pas pour le renouvellement de PRT.Windows transport endpoints are required for password authentication only when a password is changed, not for PRT renewal.

Considérations relatives aux clésKey considerations

  • Un PRT est uniquement émis et renouvelé pendant les authentifications d’applications natives.A PRT is only issued and renewed during native app authentication. Un PRT n’est pas renouvelé ou émis pendant une session de navigateur.A PRT is not renewed or issued during a browser session.
  • Sur les appareils joints à Azure AD et Azure AD hybride, le plug-in CloudAP est l’autorité principale pour un PRT.In Azure AD joined and hybrid Azure AD joined devices, the CloudAP plugin is the primary authority for a PRT. Si un PRT est renouvelé pendant une demande de jeton WAM, il est renvoyé au plug-in CloudAP, qui vérifie sa validité avec Azure AD avant de l’accepter.If a PRT is renewed during a WAM-based token request, the PRT is sent back to CloudAP plugin, which verifies the validity of the PRT with Azure AD before accepting it.

Comment le PRT est-il protégé ?How is the PRT protected?

Un PRT est protégé via une liaison à l’appareil sur lequel l’utilisateur s’est connecté.A PRT is protected by binding it to the device the user has signed in to. Azure AD et Windows 10 protègent les PRT via les méthodes suivantes :Azure AD and Windows 10 enable PRT protection through the following methods:

  • À la première connexion : À la première connexion, un PRT est émis via signature de demande en utilisant la clé d’appareil générée de manière chiffrée au moment de l’inscription de l’appareil.During first sign in: During first sign in, a PRT is issued by signing requests using the device key cryptographically generated during device registration. Sur un appareil avec TPM valide et fonctionnel, la clé d’appareil est sécurisée par le TPM, empêchant tout accès malveillant.On a device with a valid and functioning TPM, the device key is secured by the TPM preventing any malicious access. Aucun PRT n’est émis si la signature de clé d’appareil correspondante ne peut pas être validée.A PRT is not issued if the corresponding device key signature cannot be validated.
  • Au cours des demandes et des renouvellements de jeton : Lorsqu’un PRT est émis, Azure AD émet également une clé de session chiffrée sur l’appareil.During token requests and renewal: When a PRT is issued, Azure AD also issues an encrypted session key to the device. Elle est chiffrée à l’aide de la clé de transport publique (tkpub) générée et envoyée à Azure AD dans le cadre de l’inscription de l’appareil.It is encrypted with the public transport key (tkpub) generated and sent to Azure AD as part of device registration. Cette clé de session peut uniquement être déchiffrée par la clé de transport privée (tkpriv) sécurisée par le TPM.This session key can only be decrypted by the private transport key (tkpriv) secured by the TPM. La clé de session est la clé de preuve de possession (POP) pour toutes les demandes envoyées à Azure AD.The session key is the Proof-of-Possession (POP) key for any requests sent to Azure AD. La clé de session est également protégée par le TPM et aucun autre composant du système d’exploitation ne peut y accéder.The session key is also protected by the TPM and no other OS component can access it. Les demandes de jeton ou les demandes de renouvellement de PRT sont signées en toute sécurité par cette clé de session via le TPM. Par conséquent, elles ne peuvent pas être altérées.Token requests or PRT renewal requests are securely signed by this session key through the TPM and hence, cannot be tampered with. Azure AD invalidera toutes les demandes de l’appareil non signées par la clé de session correspondante.Azure AD will invalidate any requests from the device that are not signed by the corresponding session key.

En sécurisant ces clés avec le module TPM, nous améliorons la sécurité du PRT en empêchant les personnes malveillantes de voler les clés ou de relire le PRT.By securing these keys with the TPM, we enhance the security for PRT from malicious actors trying to steal the keys or replay the PRT. Ainsi, l’utilisation d’un TPM renforce considérablement la sécurité des appareils joints à Azure AD, à Azure AD Hybride et inscrits dans Azure AD et les protège contre le vol d’informations d’identification.So, using a TPM greatly enhances the security of Azure AD Joined, Hybrid Azure AD joined, and Azure AD registered devices against credential theft. Pour des performances et une fiabilité améliorées, TPM 2.0 est la version recommandée dans tous les scénarios d’inscription d’appareils Azure AD sous Windows 10.For performance and reliability, TPM 2.0 is the recommended version for all Azure AD device registration scenarios on Windows 10. En raison de problèmes de fiabilité, à partir de la mise à jour 1903 de Windows 10, Azure AD n’utilise TPM 1.2 pour aucune des clés mentionnées plus haut.Starting Windows 10, 1903 update, Azure AD does not use TPM 1.2 for any of the above keys due to reliability issues.

Comment les jetons d’application et les cookies de navigateur sont-ils protégés ?How are app tokens and browser cookies protected?

Jetons d’application : Lorsqu’une application demande un jeton via WAM, Azure AD émet un jeton d’actualisation et un jeton d’accès.App tokens: When an app requests token through WAM, Azure AD issues a refresh token and an access token. Toutefois, WAM ne retourne que le jeton d’accès à l’application et il sécurise le jeton d’actualisation dans sa mémoire cache en le chiffrant avec la clé DPAPI de l’utilisateur.However, WAM only returns the access token to the app and secures the refresh token in its cache by encrypting it with the user’s data protection application programming interface (DPAPI) key. WAM utilise en toute sécurité le jeton d’actualisation en signant les demandes avec la clé de session pour émettre des jetons d’accès supplémentaires.WAM securely uses the refresh token by signing requests with the session key to issue further access tokens. La clé DPAPI est sécurisée par une clé symétrique Azure AD dans Azure AD lui-même.The DPAPI key is secured by an Azure AD based symmetric key in Azure AD itself. Quand l’appareil doit déchiffrer le profil utilisateur avec la clé DPAPI, Azure AD fournit la clé DPAPI chiffrée par la clé de session, que le plug-in CloudAP demande au TPM de déchiffrer.When the device needs to decrypt the user profile with the DPAPI key, Azure AD provides the DPAPI key encrypted by the session key, which CloudAP plugin requests TPM to decrypt. Cette fonctionnalité garantit la cohérence de la sécurisation des jetons d’actualisation et évite aux applications d’implémenter leurs propres mécanismes de protection.This functionality ensures consistency in securing refresh tokens and avoids applications implementing their own protection mechanisms.

Cookies de navigateur : Dans Windows 10, Azure AD prend en charge l’authentification unique de navigateur dans Internet Explorer et Microsoft Edge en natif, et dans Google Chrome via l’extension Windows 10 Accounts.Browser cookies: In Windows 10, Azure AD supports browser SSO in Internet Explorer and Microsoft Edge natively or in Google Chrome via the Windows 10 accounts extension. Ce dispositif de sécurité est conçu non seulement pour protéger les cookies, mais également les points de terminaison sur lesquels les cookies sont envoyés.The security is built not only to protect the cookies but also the endpoints to which the cookies are sent. Les cookies de navigateur sont protégés de la même façon que les PRT, c’est-à-dire en utilisant la clé de session pour signer et protéger les cookies.Browser cookies are protected the same way a PRT is, by utilizing the session key to sign and protect the cookies.

Lorsqu’un utilisateur lance une interaction de navigateur, le navigateur (ou l’extension) appelle un hôte de client natif COM.When a user initiates a browser interaction, the browser (or extension) invokes a COM native client host. L’hôte de client natif garantit que la page provient de l’un des domaines autorisés.The native client host ensures that the page is from one of the allowed domains. Le navigateur pourrait envoyer d’autres paramètres à l’hôte de client natif, y compris une valeur à usage unique, toutefois, l’hôte de client natif garantit la validation du nom d’hôte.The browser could send other parameters to the native client host, including a nonce, however the native client host guarantees validation of the hostname. L’hôte de client natif demande un cookie de PRT au plug-in CloudAP, qui le crée et le signe avec la clé de session protégée par le TPM.The native client host requests a PRT-cookie from CloudAP plugin, which creates and signs it with the TPM-protected session key. Comme le cookie de PRT est signé par la clé de session, il est très difficile à falsifier.As the PRT-cookie is signed by the session key, it is very difficult to tamper with. Ce cookie de PRT est inclus dans l’en-tête de demande afin qu’Azure AD valide l’appareil qui en est à l’origine.This PRT-cookie is included in the request header for Azure AD to validate the device it is originating from. Dans le navigateur Chrome, seule l’extension explicitement définie dans le manifeste de l’hôte de client natif peut l’appeler, ce qui empêche les extensions arbitraires de faire ces demandes.If using the Chrome browser, only the extension explicitly defined in the native client host’s manifest can invoke it preventing arbitrary extensions from making these requests. Une fois qu’Azure AD valide le cookie de PRT, il émet un cookie de session sur le navigateur.Once Azure AD validates the PRT cookie, it issues a session cookie to the browser. Ce cookie de session contient également la même clé de session que celle émise avec un PRT.This session cookie also contains the same session key issued with a PRT. Lors des demandes suivantes, la clé de session est validée, ce qui lie le cookie à l’appareil et empêche les relectures à partir d’un autre emplacement.During subsequent requests, the session key is validated effectively binding the cookie to the device and preventing replays from elsewhere.

Dans quels cas les PRT reçoivent-ils une revendication MFA ?When does a PRT get an MFA claim?

Un PRT peut recevoir une revendication MFA (authentification multifacteur) dans des scénarios spécifiques.A PRT can get a multi-factor authentication (MFA) claim in specific scenarios. Lorsqu’un PRT basé sur l’authentification multifacteur est utilisé pour demander des jetons pour les applications, la revendication MFA est transférée à ces jetons d’application.When an MFA-based PRT is used to request tokens for applications, the MFA claim is transferred to those app tokens. Cette fonctionnalité offre une expérience transparente aux utilisateurs en empêchant les demandes d’authentification multifacteur pour chaque application qui en a besoin.This functionality provides a seamless experience to users by preventing MFA challenge for every app that requires it. Un PRT peut recevoir une revendication MFA dans les cas suivants :A PRT can get an MFA claim in the following ways:

  • Connexion avec Windows Hello Entreprise : Windows Hello Entreprise remplace les mots de passe et utilise des clés de chiffrement pour fournir une authentification à deux facteurs forte.Sign in with Windows Hello for Business: Windows Hello for Business replaces passwords and uses cryptographic keys to provide strong two-factor authentication. Windows Hello Entreprise est propre à l’utilisateur de l’appareil, et lui-même exige une authentification multifacteur pour l’approvisionnement.Windows Hello for Business is specific to a user on a device, and itself requires MFA to provision. Quand un utilisateur se connecte avec Windows Hello Entreprise, son PRT reçoit une revendication MFA.When a user logs in with Windows Hello for Business, the user’s PRT gets an MFA claim. Ce scénario s’applique également aux utilisateurs se connectant à l’aide de cartes à puce, si l’authentification par carte à puce génère une revendication MFA de la part d’ADFS.This scenario also applies to users logging in with smartcards if smartcard authentication produces an MFA claim from ADFS.
    • Comme Windows Hello Entreprise est considéré comme authentification multifacteur, la revendication MFA est mise à jour lorsque le PRT lui-même est actualisé. Par conséquent, la durée de l’authentification multifacteur s’étend en continu lorsque les utilisateurs se connectent avec Windows Hello Entreprise.As Windows Hello for Business is considered multi-factor authentication, the MFA claim is updated when the PRT itself is refreshed, so the MFA duration will continually extend when users sign in with WIndows Hello for Business
  • Authentification multifacteur pendant la connexion interactive WAM : Pendant une demande de jeton via WAM, si un utilisateur doit avoir recours à l’authentification multifacteur pour accéder à l’application, le PRT renouvelé pendant cette interaction contient une revendication MFA.MFA during WAM interactive sign in: During a token request through WAM, if a user is required to do MFA to access the app, the PRT that is renewed during this interaction is imprinted with an MFA claim.
    • Dans ce cas, la revendication MFA n’est pas actualisée en continu. Par conséquent, la durée de validité de l’authentification multifacteur est basée sur la durée de vie définie sur le répertoire.In this case, the MFA claim is not updated continuously, so the MFA duration is based on the lifetime set on the directory.
    • Lorsqu’un PRT et un RT existants sont utilisés pour accéder à une application, le PRT et le RT sont considérés comme la première preuve d’authentification.When a previous existing PRT and RT are used for access to an app, the PRT and RT will be regarded as the first proof of authentication. Un nouveau AT sera requis avec une deuxième preuve et une revendication MFA imprimée.A new AT will be required with a second proof and an imprinted MFA claim. Cela génère également un nouveau PRT et RT.This will also issue a new PRT and RT.
  • Authentification multifacteur pendant l’inscription d’un appareil : Si un administrateur a configuré ses paramètres d’appareil dans Azure AD pour que soit exigée une authentification multifacteur pour inscrire des appareils, l’utilisateur doit utiliser l’authentification multifacteur pour terminer l’inscription.MFA during device registration: If an admin has configured their device settings in Azure AD to require MFA to register devices, the user needs to do MFA to complete the registration. Pendant ce processus, le PRT émis pour l’utilisateur reçoit la revendication MFA lors de l’inscription.During this process, the PRT that is issued to the user has the MFA claim obtained during the registration. Cette fonctionnalité s’applique uniquement à l’utilisateur qui a effectué l’opération de jointure, pas aux autres utilisateurs qui se connectent sur cet appareil.This capability only applies to the user who did the join operation, not to other users who sign in to that device.
    • Comme pour la connexion interactive WAM, la revendication MFA n’est pas mise à jour en continu. Par conséquent, la durée de validité de l’authentification multifacteur est basée sur la durée de vie définie sur le répertoire.Similar to the WAM interactive sign in, the MFA claim is not updated continuously, so the MFA duration is based on the lifetime set on the directory.

Windows 10 gère une liste partitionnée de PRT pour chaque information d’identification.Windows 10 maintains a partitioned list of PRTs for each credential. Par conséquent, il existe un PRT pour chacune : Windows Hello Entreprise, mot de passe ou carte à puce.So, there’s a PRT for each of Windows Hello for Business, password, or smartcard. Ce partitionnement garantit que les revendications MFA sont isolées selon les informations d’identification utilisées et qu’elles ne sont pas mélangées pendant les demandes de jeton.This partitioning ensures that MFA claims are isolated based on the credential used, and not mixed up during token requests.

Dans quel cas un PRT est-il invalidé ?How is a PRT invalidated?

Un PRT est invalidé dans les scénarios suivants :A PRT is invalidated in the following scenarios:

  • Utilisateur non valide : Si un utilisateur est supprimé ou désactivé dans Azure AD, ses PRT sont invalidés et ne peuvent pas être utilisés pour obtenir des jetons pour les applications.Invalid user: If a user is deleted or disabled in Azure AD, their PRT is invalidated and cannot be used to obtain tokens for applications. Si un utilisateur supprimé ou désactivé s’est déjà connecté à un appareil auparavant, la connexion à l’aide des informations mises en cache leur ouvrirait la session, jusqu’à ce que CloudAP se rende compte de leur état non valide.If a deleted or disabled user already signed in to a device before, cached sign-in would log them in, until CloudAP is aware of their invalid state. Une fois que CloudAP détermine que l’utilisateur n’est pas valide, il bloque les ouvertures de session suivantes.Once CloudAP determines that the user is invalid, it blocks subsequent logons. Un utilisateur non valide est bloqué automatiquement : il ne peut pas se connecter à de nouveaux appareils qui n’ont pas ses informations d’identification mises en cache.An invalid user is automatically blocked from sign in to new devices that don’t have their credentials cached.
  • Appareil non valide : Si un appareil est supprimé ou désactivé dans Azure AD, les PRT obtenus sur ce dernier sont invalidés et ne peuvent pas être utilisés pour obtenir des jetons pour les autres applications.Invalid device: If a device is deleted or disabled in Azure AD, the PRT obtained on that device is invalidated and cannot be used to obtain tokens for other applications. Si un utilisateur s’est déjà connecté à un appareil non valide, il peut continuer à le faire.If a user is already signed in to an invalid device, they can continue to do so. En revanche, tous les jetons sur l’appareil sont invalidés et l’utilisateur ne peut accéder à aucune ressource via authentification unique à partir de cet appareil.But all tokens on the device are invalidated and the user does not have SSO to any resources from that device.
  • Modification de mot de passe : Quand un utilisateur modifie son mot de passe, le PRT obtenu avec le mot de passe précédent est invalidé par Azure AD.Password change: After a user changes their password, the PRT obtained with the previous password is invalidated by Azure AD. La modification du mot de passe génère un nouveau PRT pour l’utilisateur.Password change results in the user getting a new PRT. Cette invalidation peut se produire de deux manières différentes :This invalidation can happen in two different ways:
    • Si l’utilisateur se connecte à Windows avec son nouveau mot de passe, CloudAP ignore l’ancien PRT et demande à Azure AD d’émettre un nouveau PRT correspondant au nouveau mot de passe.If user signs in to Windows with their new password, CloudAP discards the old PRT and requests Azure AD to issue a new PRT with their new password. Si l’utilisateur ne dispose pas d’une connexion Internet, le nouveau mot de passe ne peut pas être validé. Windows pourrait demander à l’utilisateur d’entrer son ancien mot de passe.If user does not have an internet connection, the new password cannot be validated, Windows may require the user to enter their old password.
    • Si un utilisateur a ouvert une session avec son ancien mot de passe ou s’il a modifié son mot de passe après s’être connecté à Windows, l’ancien PRT est utilisé pour les demandes de jeton WAM.If a user has logged in with their old password or changed their password after signing into Windows, the old PRT is used for any WAM-based token requests. Dans ce scénario, l’utilisateur est invité à s’authentifier de nouveau au cours de la demande de jeton WAM et un nouveau PRT est émis.In this scenario, the user is prompted to reauthenticate during the WAM token request and a new PRT is issued.
  • Problèmes de TPM : Parfois, le TPM d’un appareil peut être instable ou tomber en panne, conduisant à l’inaccessibilité des clés sécurisées par ce dernier.TPM issues: Sometimes, a device’s TPM can falter or fail, leading to inaccessibility of keys secured by the TPM. Dans ce cas, il est impossible pour l’appareil d’obtenir un PRT ou de demander des jetons avec un PRT existant, car il n’a pas de preuve de possession des clés de chiffrement.In this case, the device is incapable of getting a PRT or requesting tokens using an existing PRT as it cannot prove possession of the cryptographic keys. Par conséquent, tous les PRT existants sont invalidés par Azure AD.As a result, any existing PRT is invalidated by Azure AD. Lorsque Windows 10 détecte une défaillance, il lance un flux de récupération pour réinscrire l’appareil avec de nouvelles clés de chiffrement.When Windows 10 detects a failure, it initiates a recovery flow to re-register the device with new cryptographic keys. Avec un appareil joint à Azure AD hybride, tout comme lors de l’inscription initiale, la récupération se produit silencieusement, sans entrée utilisateur.With Hybrid Azure Ad join, just like the initial registration, the recovery happens silently without user input. Pour les appareils joints ou inscrits à Azure AD, la récupération doit être effectuée par un utilisateur disposant de privilèges d’administrateur sur l’appareil.For Azure AD joined or Azure AD registered devices, the recovery needs to be performed by a user who has administrator privileges on the device. Dans ce scénario, le flux de récupération est lancé par une invite Windows qui guide l’utilisateur dans les étapes de récupération de l’appareil.In this scenario, the recovery flow is initiated by a Windows prompt that guides the user to successfully recover the device.

Flux détaillésDetailed flows

Les diagrammes suivants illustrent les détails sous-jacents de l’émission, du renouvellement et de l’utilisation d’un PRT pour demander un jeton d’accès pour une application.The following diagrams illustrate the underlying details in issuing, renewing, and using a PRT to request an access token for an application. En outre, ces étapes décrivent également comment les mécanismes de sécurité mentionnés ci-dessus sont appliqués pendant ces interactions.In addition, these steps also describe how the aforementioned security mechanisms are applied during these interactions.

Émission du PRT à la première connexionPRT issuance during first sign in

Diagramme détaillé du flux d’émission du PRT à la première connexion

Notes

Sur les appareils joints à Azure AD, cet échange se produit de façon synchrone. Le PRT doit être émis avant que l’utilisateur ne puisse ouvrir une session Windows.In Azure AD joined devices, this exchange happens synchronously to issue a PRT before the user can logon to Windows. Sur les appareils joints à Azure AD hybride, l’Active Directory local est l’autorité principale.In hybrid Azure AD joined devices, on-premises Active Directory is the primary authority. Par conséquent, l’utilisateur doit seulement attendre d’acquérir un ticket TGT pour se connecter, tandis que l’émission du PRT se déroule de façon asynchrone.So, the user is only waiting until they can acquire a TGT to login, while the PRT issuance happens asynchronously. Ce scénario ne s’applique pas aux appareils inscrits dans Azure AD, car l’ouverture de session n’utilise pas les informations d’identification Azure AD.This scenario does not apply to Azure AD registered devices as logon does not use Azure AD credentials.

ÉtapeStep DescriptionDescription
UnA L’utilisateur entre son mot de passe dans l’interface utilisateur de connexion.User enters their password in the sign in UI. Le processus LogonUI transmet les informations d’identification dans une mémoire tampon d’authentification à l’autorité de sécurité locale, qui les transmet à son tour en interne au fournisseur d’authentification cloud.LogonUI passes the credentials in an auth buffer to LSA, which in turns passes it internally to CloudAP. Le fournisseur d’authentification cloud transfère cette demande au plug-in CloudAP.CloudAP forwards this request to the CloudAP plugin.
BB Le plug-in CloudAP lance une demande de découverte de domaine pour identifier le fournisseur d’identité pour l’utilisateur.CloudAP plugin initiates a realm discovery request to identify the identity provider for the user. Si le locataire de l’utilisateur possède un programme d’installation de fournisseur de fédération, Azure AD renvoie le point de terminaison MEX (Metadata Exchange) de ce fournisseur.If user’s tenant has a federation provider setup, Azure AD returns the federation provider’s Metadata Exchange endpoint (MEX) endpoint. Dans le cas contraire, Azure AD indique que l’utilisateur est géré, ce qui signifie qu’il peut s’authentifier avec Azure AD.If not, Azure AD returns that the user is managed indicating that user can authenticate with Azure AD.
CC Si l’utilisateur est géré, CloudAP obtiendra la valeur à usage unique à partir d’Azure AD.If the user is managed, CloudAP will get the nonce from Azure AD. Si l’utilisateur est fédéré, le plug-in CloudAP demande un jeton SAML au fournisseur de fédération avec les informations d’identification de l’utilisateur.If the user is federated, CloudAP plugin requests a SAML token from the federation provider with the user’s credentials. Une fois le jeton SAML reçu, il demande une valeur à usage unique à Azure AD.Once it receives, the SAML token, it requests a nonce from Azure AD.
DD Le plug-in CloudAP crée la demande d’authentification avec les informations d’identification de l’utilisateur, une valeur à usage unique et une étendue de broker, signe la demande avec la clé d’appareil (dkpriv) et l’envoie à Azure AD.CloudAP plugin constructs the authentication request with the user’s credentials, nonce, and a broker scope, signs the request with the Device key (dkpriv) and sends it to Azure AD. Dans un environnement fédéré, le plug-in CloudAP utilise le jeton SAML renvoyé par le fournisseur de fédération et non pas les informations d’identification de l’utilisateur.In a federated environment, CloudAP plugin uses the SAML token returned by the federation provider instead of the user’ credentials.
EE Azure AD valide les informations d’identification de l’utilisateur, la valeur à usage unique et la signature de l’appareil, il vérifie que l’appareil est valide dans le locataire et il émet le PRT chiffré.Azure AD validates the user credentials, the nonce, and device signature, verifies that the device is valid in the tenant and issues the encrypted PRT. En même temps que le PRT, Azure AD émet également une clé symétrique, appelée clé de session, chiffrée par Azure AD à l’aide de la clé de transport (tkpub).Along with the PRT, Azure AD also issues a symmetric key, called the Session key encrypted by Azure AD using the Transport key (tkpub). En outre, la clé de session est également incorporée dans le PRT.In addition, the Session key is also embedded in the PRT. Cette clé de session agit comme une clé de preuve de possession (PoP) pour les demandes suivantes avec ce PRT.This Session key acts as the Proof-of-possession (PoP) key for subsequent requests with the PRT.
FF Le plug-in CloudAP transmet le PRT et la clé de session chiffrés au fournisseur d’authentification cloud.CloudAP plugin passes the encrypted PRT and Session key to CloudAP. Ce dernier demande au TPM de déchiffrer la clé de session avec la clé de transport (tkpriv) et de la chiffrer de nouveau avec sa propre clé.CloudAP request the TPM to decrypt the Session key using the Transport key (tkpriv) and re-encrypt it using the TPM’s own key. Le CloudAP stocke la clé de session chiffrée dans son cache, ainsi que le PRT.CloudAP stores the encrypted Session key in its cache along with the PRT.

Renouvellement du PRT lors des ouvertures de session suivantesPRT renewal in subsequent logons

Renouvellement du PRT lors des ouvertures de session suivantes

ÉtapeStep DescriptionDescription
UnA L’utilisateur entre son mot de passe dans l’interface utilisateur de connexion.User enters their password in the sign in UI. Le processus LogonUI transmet les informations d’identification dans une mémoire tampon d’authentification à l’autorité de sécurité locale, qui les transmet à son tour en interne au fournisseur d’authentification cloud.LogonUI passes the credentials in an auth buffer to LSA, which in turns passes it internally to CloudAP. Le fournisseur d’authentification cloud transfère cette demande au plug-in CloudAP.CloudAP forwards this request to the CloudAP plugin.
BB Si l’utilisateur a déjà ouvert une session, Windows lance la connexion avec les informations mises en cache et valide les informations d’identification pour connecter l’utilisateur.If the user has previously logged on to the user, Windows initiates cached sign in and validates credentials to log the user in. Toutes les 4 heures, le plug-in CloudAP lance le renouvellement du PRT de façon asynchrone.Every 4 hours, the CloudAP plugin initiates PRT renewal asynchronously.
CC Le plug-in CloudAP lance une demande de découverte de domaine pour identifier le fournisseur d’identité pour l’utilisateur.CloudAP plugin initiates a realm discovery request to identify the identity provider for the user. Si le locataire de l’utilisateur possède un programme d’installation de fournisseur de fédération, Azure AD renvoie le point de terminaison MEX (Metadata Exchange) de ce fournisseur.If user’s tenant has a federation provider setup, Azure AD returns the federation provider’s Metadata Exchange endpoint (MEX) endpoint. Dans le cas contraire, Azure AD indique que l’utilisateur est géré, ce qui signifie qu’il peut s’authentifier avec Azure AD.If not, Azure AD returns that the user is managed indicating that user can authenticate with Azure AD.
DD Si l’utilisateur est fédéré, le plug-in CloudAP demande un jeton SAML au fournisseur de fédération avec les informations d’identification de l’utilisateur.If the user is federated, CloudAP plugin requests a SAML token from the federation provider with the user’s credentials. Une fois le jeton SAML reçu, il demande une valeur à usage unique à Azure AD.Once it receives, the SAML token, it requests a nonce from Azure AD. Si l’utilisateur est géré, CloudAP obtiendra directement la valeur à usage unique à partir d’Azure AD.If the user is managed, CloudAP will directly get the nonce from Azure AD.
EE Le plug-in CloudAP crée la demande d’authentification avec les informations d’identification de l’utilisateur, une valeur à usage unique et le PRT existant, signe la demande avec la clé de session et l’envoie à Azure AD.CloudAP plugin constructs the authentication request with the user’s credentials, nonce, and the existing PRT, signs the request with the Session key and sends it to Azure AD. Dans un environnement fédéré, le plug-in CloudAP utilise le jeton SAML renvoyé par le fournisseur de fédération et non pas les informations d’identification de l’utilisateur.In a federated environment, CloudAP plugin uses the SAML token returned by the federation provider instead of the user’ credentials.
FF Azure AD valide la signature de la clé de session en comparant cette dernière à la clé de session incorporée dans le PRT, il valide la valeur à usage unique, vérifie que l’appareil est valide dans le locataire et émet un nouveau PRT.Azure AD validates the Session key signature by comparing it against the Session key embedded in the PRT, validates the nonce and verifies that the device is valid in the tenant and issues a new PRT. Comme indiqué précédemment, le PRT est à nouveau accompagné par une clé de session chiffrée avec la clé de transport (tkpub).As seen before, the PRT is again accompanied with the Session key encrypted by Transport key (tkpub).
GG Le plug-in CloudAP transmet le PRT et la clé de session chiffrés au fournisseur d’authentification cloud.CloudAP plugin passes the encrypted PRT and Session key to CloudAP. Ce dernier demande au TPM de déchiffrer la clé de session avec la clé de transport (tkpriv) et de la chiffrer de nouveau avec sa propre clé.CloudAP requests the TPM to decrypt the Session key using the Transport key (tkpriv) and re-encrypt it using the TPM’s own key. Le CloudAP stocke la clé de session chiffrée dans son cache, ainsi que le PRT.CloudAP stores the encrypted Session key in its cache along with the PRT.

Notes

Un PRT peut être renouvelé de manière externe sans nécessiter une connexion VPN quand les points de terminaison usernamemixed sont activés de manière externe.A PRT can be renewed externally without the need of a VPN connection when usernamemixed endpoints are enabled externally.

Utilisation du PRT lors de demandes de jeton d’applicationPRT usage during app token requests

Utilisation du PRT lors de demandes de jeton d’application

ÉtapeStep DescriptionDescription
UnA Une application (par exemple Outlook, OneNote, etc.) initie une demande de jeton au WAM.An application (for example, Outlook, OneNote etc.) initiates a token request to WAM. Ce dernier demande à son tour au plug-in Azure AD WAM de traiter la demande de jeton.WAM, in turn, asks the Azure AD WAM plugin to service the token request.
BB Si un jeton d’actualisation est déjà disponible pour l’application, le plug-in Azure AD WAM l’utilise pour demander un jeton d’accès.If a Refresh token for the application is already available, Azure AD WAM plugin uses it to request an access token. Pour fournir la preuve de la liaison de l’appareil, le plug-in WAM signe la demande avec la clé de session.To provide proof of device binding, WAM plugin signs the request with the Session key. Azure AD valide la clé de session et émet un jeton d’accès ainsi qu’un nouveau jeton d’actualisation pour l’application, chiffrés avec la clé de session.Azure AD validates the Session key and issues an access token and a new refresh token for the app, encrypted by the Session key. Le plug-in WAM demande au plug-in Cloud AP de déchiffrer les jetons, et ce dernier demande à son tour au TPM de les déchiffrer à l’aide de la clé de session. Le plug-in WAM obtient alors les deux jetons.WAM plugin requests Cloud AP plugin to decrypt the tokens, which, in turn, requests the TPM to decrypt using the Session key, resulting in WAM plugin getting both the tokens. Ensuite, le plug-in WAM fournit uniquement le jeton d’accès à l’application, tandis qu’il chiffre à nouveau le jeton d’actualisation avec DPAPI et le stocke dans son propre cache.Next, WAM plugin provides only the access token to the application, while it re-encrypts the refresh token with DPAPI and stores it in its own cache
CC Si aucun jeton d’actualisation n’est disponible pour l’application, le plug-in Azure AD WAM utilise le PRT pour demander un jeton d’accès.If a Refresh token for the application is not available, Azure AD WAM plugin uses the PRT to request an access token. Pour fournir une preuve de possession, le plug-in WAM signe la demande contenant le PRT avec la clé de session.To provide proof of possession, WAM plugin signs the request containing the PRT with the Session key. Azure AD valide la signature de la clé de session en comparant cette dernière à la clé de session incorporée dans le PRT, il vérifie que l’appareil est valide et émet un jeton d’accès et un jeton d’actualisation pour l’application.Azure AD validates the Session key signature by comparing it against the Session key embedded in the PRT, verifies that the device is valid and issues an access token and a refresh token for the application. En outre, Azure AD peut émettre de nouveaux PRT (en fonction du cycle d’actualisation), tous chiffrés par la clé de session.in addition, Azure AD can issue a new PRT (based on refresh cycle), all of them encrypted by the Session key.
DD Le plug-in WAM demande au plug-in Cloud AP de déchiffrer les jetons, et ce dernier demande à son tour au TPM de les déchiffrer à l’aide de la clé de session. Le plug-in WAM obtient alors les deux jetons.WAM plugin requests Cloud AP plugin to decrypt the tokens, which, in turn, requests the TPM to decrypt using the Session key, resulting in WAM plugin getting both the tokens. Ensuite, le plug-in WAM fournit uniquement le jeton d’accès à l’application, tandis qu’il chiffre à nouveau le jeton d’actualisation avec DPAPI et le stocke dans son propre cache.Next, WAM plugin provides only the access token to the application, while it re-encrypts the refresh token with DPAPI and stores it in its own cache. Le plug-in WAM utilisera le jeton d’actualisation à l’avenir pour cette application.WAM plugin will use the refresh token going forward for this application. Le plug-in WAM restitue également le nouveau PRT au plug-in CloudAP, qui le valide avec Azure AD avant de le mettre à jour dans son propre cache.WAM plugin also gives back the new PRT to Cloud AP plugin, which validates the PRT with Azure AD before updating it in its own cache. Le plug-in CloudAP utilisera le nouveau PRT à l’avenir.Cloud AP plugin will use the new PRT going forward.
EE Le gestionnaire de comptes web fournit le jeton d’accès qui vient d’être émis au plug-in WAM, qui à son tour le retransmet à l’application appelante.WAM provides the newly issued access token to WAM, which in turn, provides it back to the calling application

Authentification unique dans le navigateur avec le PRTBrowser SSO using PRT

Authentification unique dans le navigateur avec le PRT

ÉtapeStep DescriptionDescription
UnA Un utilisateur ouvre une session Windows avec ses informations d’identification pour obtenir un PRT.User logs in to Windows with their credentials to get a PRT. Une fois que l’utilisateur ouvre le navigateur, ce dernier (ou une extension) charge les URL du Registre.Once user opens the browser, browser (or extension) loads the URLs from the registry.
BB Lorsqu’un utilisateur ouvre une URL de connexion Azure AD, le navigateur ou l’extension compare l’URL avec celles obtenues à partir du Registre.When a user opens an Azure AD login URL, the browser or extension validates the URL with the ones obtained from the registry. Si elles correspondent, le navigateur appelle l’hôte de client natif pour obtenir un jeton.If they match, the browser invokes the native client host for getting a token.
CC L’hôte de client natif vérifie l’appartenance de l’URL aux fournisseurs d’identités Microsoft (compte Microsoft ou Azure AD), extrait une valeur à usage unique envoyée de l’URL et effectue un appel au plug-in CloudAP pour obtenir un cookie de PRT.The native client host validates that the URLs belong to the Microsoft identity providers (Microsoft account or Azure AD), extracts a nonce sent from the URL and makes a call to CloudAP plugin to get a PRT cookie.
DD Le plug-in CloudAP crée le cookie de PRT, se connecte avec la clé de session liée au TPM et le renvoie à l’hôte de client natif.The CloudAP plugin will create the PRT cookie, sign in with the TPM-bound session key and send it back to the native client host.
EE L’hôte de client natif renvoie ce cookie de PRT au navigateur, qui l’inclut dans l’en-tête de demande x-ms-RefreshTokenCredential et demande les jetons à Azure AD.The native client host will return this PRT cookie to the browser, which will include it as part of the request header called x-ms-RefreshTokenCredential and request tokens from Azure AD.
FF Azure AD valide la signature de clé de session sur le cookie de PRT, vérifie la valeur à usage unique, s’assure que l’appareil est valide dans le locataire et émet un jeton d’ID pour la page web et un cookie de session chiffré pour le navigateur.Azure AD validates the Session key signature on the PRT cookie, validates the nonce, verifies that the device is valid in the tenant, and issues an ID token for the web page and an encrypted session cookie for the browser.

Notes

Le flux d’authentification unique du navigateur décrit aux étapes ci-dessus ne s’applique pas aux sessions dans les modes privés tels que InPrivate dans Microsoft Edge ou Incognito dans Google Chrome (lors de l’utilisation de l’extension Comptes Microsoft).The Browser SSO flow described in the steps above does not apply for sessions in private modes such as InPrivate in Microsoft Edge, or Incognito in Google Chrome (when using the Microsoft Accounts extension).

Étapes suivantesNext steps

Pour plus d’informations sur la résolution des problèmes liés aux PRT, consultez l’article Résolution des problèmes des appareils hybrides Windows 10 et Windows Server 2016 joints à Azure Active Directory.For more information on troubleshooting PRT-related issues, see the article Troubleshooting hybrid Azure Active Directory joined Windows 10 and Windows Server 2016 devices.