Pendaftaran Perangkat adalah prasyarat untuk autentikasi berbasis cloud. Umumnya, perangkat tergabung dengan Azure AD atau Azure AD hibrida untuk menyelesaikan pendaftaran perangkat. Artikel ini memberikan detail tentang bagaimana gabungan Azure AD dan gabungan Azure Ad hibrida bekerja di lingkungan yang terkelola dan terfederasi. Untuk informasi selengkapnya tentang cara kerja autentikasi Azure AD di perangkat ini, lihat artikel Token refresh utama
Tergabung dengan Azure AD dalam Lingkungan terkelola
=
Fase
Deskripsi
A
Cara paling umum perangkat yang tergabung dengan Azure AD untuk mendaftar adalah selama out-of-box-experience (OOBE) di mana perangkat memuat aplikasi web yang tergabung dengan Azure AD di aplikasi Cloud Experience Host (CXH). Aplikasi mengirimkan permintaan GET ke titik akhir konfigurasi OpenID Azure AD untuk menemukan titik akhir otorisasi. Azure AD mengembalikan konfigurasi OpenID, yang mencakup titik akhir otorisasi, ke aplikasi sebagai dokumen JSON.
B
Aplikasi ini membuat permintaan masuk untuk titik akhir otorisasi dan mengumpulkan info masuk pengguna.
C
Setelah pengguna memberikan nama pengguna mereka (dalam format UPN), aplikasi mengirimkan permintaan GET ke Azure AD guna menemukan informasi realm yang sesuai untuk pengguna. Informasi ini menentukan apakah lingkungan merupakan lingkungan terkelola atau terfederasi. Azure AD mengembalikan informasi dalam objek JSON. Aplikasi menentukan bahwa lingkungan merupakan lingkungan terkelola (bukan terfederasi).
Langkah terakhir dalam fase ini adalah aplikasi membuat buffer autentikasi dan jika di OOBE, menyimpannya untuk sementara guna masuk secara otomatis di akhir OOBE. Aplikasi POST info masuk ke Azure AD di mana info masuk ini divalidasi. Azure AD mengembalikan token ID dengan klaim.
D
Aplikasi mencari ketentuan penggunaan MDM (klaim mdm_tou_url). Jika ada, aplikasi mengambil ketentuan penggunaan dari nilai klaim, menampilkan konten kepada pengguna, dan menunggu pengguna untuk menyetujui ketentuan penggunaan. Langkah ini opsional dan dilewati jika klaim tidak ada atau jika nilai klaim kosong.
E
Aplikasi ini mengirimkan permintaan penemuan pendaftaran perangkat ke Azure Device Registration Service (ADRS). Azure DRS mengembalikan dokumen data penemuan, yang mengembalikan URI khusus penyewa untuk menyelesaikan pendaftaran perangkat.
F
Aplikasi ini membuat pasangan kunci RSA 2048 bit yang terikat TPM (pilihan) yang dikenal sebagai kunci perangkat (dkpub/dkpriv). Aplikasi ini membuat permintaan sertifikat menggunakan dkpub dan kunci umum serta menandatangani permintaan sertifikat menggunakan dkpriv. Selanjutnya, aplikasi ini mengambil pasangan kunci kedua dari kunci akar penyimpanan TPM. Kunci ini adalah kunci transportasi (tkpub/tkpriv).
G
Aplikasi mengirimkan permintaan pendaftaran perangkat ke Azure DRS yang mencakup token ID, permintaan sertifikat, tkpub, dan data pengesahan. Azure DRS memvalidasi token ID, membuat ID perangkat, dan membuat sertifikat berdasarkan permintaan sertifikat yang disertakan. Azure DRS kemudian menulis objek perangkat di Azure AD dan mengirimkan ID perangkat dan sertifikat perangkat ke klien.
H
Pendaftaran perangkat selesai dengan menerima ID perangkat dan sertifikat perangkat dari Azure DRS. ID perangkat disimpan untuk referensi di masa mendatang (dapat dilihat dari dsregcmd.exe /status), dan sertifikat perangkat diinstal di Penyimpanan privat komputer. Setelah pendaftaran perangkat selesai, proses berlanjut dengan pendaftaran MDM.
Tergabung dengan Azure AD dalam Lingkungan terfederasi
=
Fase
Deskripsi
A
Cara paling umum perangkat yang tergabung dengan Azure AD untuk mendaftar adalah selama out-of-box-experience (OOBE) di mana perangkat memuat aplikasi web yang tergabung dengan Azure AD di aplikasi Cloud Experience Host (CXH). Aplikasi mengirimkan permintaan GET ke titik akhir konfigurasi OpenID Azure AD untuk menemukan titik akhir otorisasi. Azure AD mengembalikan konfigurasi OpenID, yang mencakup titik akhir otorisasi, ke aplikasi sebagai dokumen JSON.
B
Aplikasi ini membuat permintaan masuk untuk titik akhir otorisasi dan mengumpulkan info masuk pengguna.
C
Setelah pengguna memberikan nama pengguna mereka (dalam format UPN), aplikasi mengirimkan permintaan GET ke Azure AD guna menemukan informasi realm yang sesuai untuk pengguna. Informasi ini menentukan apakah lingkungan merupakan lingkungan terkelola atau terfederasi. Azure AD mengembalikan informasi dalam objek JSON. Aplikasi ini menentukan bahwa lingkungan merupakan lingkungan terfederasi.
Aplikasi ini mengalihkan ke nilai AuthURL (halaman masuk STS di lokal) di objek realm JSON yang dikembalikan. Aplikasi ini mengumpulkan info masuk melalui halaman web STS.
D
Aplikasi POST info masuk ke STS lokal, yang mungkin memerlukan faktor autentikasi tambahan. STS lokal mengautentikasi pengguna dan mengembalikan token. Aplikasi POSTs token ke Azure AD untuk autentikasi. Azure AD memvalidasi token dan mengembalikan token ID dengan klaim.
E
Aplikasi mencari ketentuan penggunaan MDM (klaim mdm_tou_url). Jika ada, aplikasi mengambil ketentuan penggunaan dari nilai klaim, menampilkan konten kepada pengguna, dan menunggu pengguna untuk menyetujui ketentuan penggunaan. Langkah ini opsional dan dilewati jika klaim tidak ada atau jika nilai klaim kosong.
F
Aplikasi ini mengirimkan permintaan penemuan pendaftaran perangkat ke Azure Device Registration Service (ADRS). Azure DRS mengembalikan dokumen data penemuan, yang mengembalikan URI khusus penyewa untuk menyelesaikan pendaftaran perangkat.
G
Aplikasi ini membuat pasangan kunci RSA 2048 bit yang terikat TPM (pilihan) yang dikenal sebagai kunci perangkat (dkpub/dkpriv). Aplikasi ini membuat permintaan sertifikat menggunakan dkpub dan kunci umum serta menandatangani permintaan sertifikat menggunakan dkpriv. Selanjutnya, aplikasi ini mengambil pasangan kunci kedua dari kunci akar penyimpanan TPM. Kunci ini adalah kunci transportasi (tkpub/tkpriv).
H
Aplikasi mengirimkan permintaan pendaftaran perangkat ke Azure DRS yang mencakup token ID, permintaan sertifikat, tkpub, dan data pengesahan. Azure DRS memvalidasi token ID, membuat ID perangkat, dan membuat sertifikat berdasarkan permintaan sertifikat yang disertakan. Azure DRS kemudian menulis objek perangkat di Azure AD dan mengirimkan ID perangkat dan sertifikat perangkat ke klien.
I
Pendaftaran perangkat selesai dengan menerima ID perangkat dan sertifikat perangkat dari Azure DRS. ID perangkat disimpan untuk referensi di masa mendatang (dapat dilihat dari dsregcmd.exe /status), dan sertifikat perangkat diinstal di Penyimpanan privat komputer. Setelah pendaftaran perangkat selesai, proses berlanjut dengan pendaftaran MDM.
Tergabung dengan Azure AD Hibrida di Lingkungan terkelola
=
Fase
Deskripsi
A
Pengguna masuk ke komputer Windows 10 atau yang lebih baru yang tergabung dengan domain menggunakan kredensial domain. Info masuk ini dapat berupa nama pengguna dan kata sandi atau autentikasi kartu pintar. Pengguna masuk memicu tugas Bergabung dengan Perangkat Otomatis. Tugas Bergabung dengan Perangkat Otomatis dipicu pada saat bergabung dengan domain dan diulangi setiap jam. Ini tidak hanya tergantung pada peristiwa pengguna masuk.
B
Tugas mengkueri Direktori Aktif menggunakan protokol LDAP untuk atribut kata kunci pada titik koneksi layanan yang disimpan dalam partisi konfigurasi di Direktori Aktif (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Nilai yang dikembalikan dalam atribut kata kunci menentukan apakah pendaftaran perangkat diarahkan ke Azure Device Registration Service (ADRS) atau layanan pendaftaran perangkat perusahaan yang dihosting secara lokal.
C
Untuk lingkungan terkelola, tugas membuat info masuk autentikasi awal dalam bentuk sertifikat yang ditandatangani sendiri. Tugas menulis sertifikat ke atribut userCertificate pada objek komputer di Direktori Aktif menggunakan LDAP.
D
Komputer tidak dapat mengautentikasi ke Azure DRS sampai objek perangkat yang mewakili komputer yang menyertakan sertifikat pada atribut userCertificate dibuat di Azure AD. Azure AD Connect mendeteksi perubahan atribut. Pada siklus sinkronisasi berikutnya, Azure AD Connect mengirimkan userCertificate, GUID objek, dan SID komputer ke Azure DRS. Azure DRS menggunakan informasi atribut untuk membuat objek perangkat di Azure AD.
E
Tugas Bergabung dengan Perangkat Otomatis dipicu setiap pengguna masuk atau setiap jam, dan mencoba mengautentikasi komputer ke Azure AD menggunakan kunci privat yang sesuai dari kunci publik di atribut userCertificate. Azure AD mengautentikasi komputer dan mengeluarkan token ID ke komputer.
F
Tugas ini membuat pasangan kunci RSA 2048 bit yang terikat TPM (pilihan) yang dikenal sebagai kunci perangkat (dkpub/dkpriv). Aplikasi ini membuat permintaan sertifikat menggunakan dkpub dan kunci umum serta menandatangani permintaan sertifikat menggunakan dkpriv. Selanjutnya, aplikasi ini mengambil pasangan kunci kedua dari kunci akar penyimpanan TPM. Kunci ini adalah kunci transportasi (tkpub/tkpriv).
G
Tugas ini mengirimkan permintaan pendaftaran perangkat ke Azure DRS yang mencakup token ID, permintaan sertifikat, tkpub, dan data pengesahan. Azure DRS memvalidasi token ID, membuat ID perangkat, dan membuat sertifikat berdasarkan permintaan sertifikat yang disertakan. Azure DRS kemudian memperbarui objek perangkat di Azure AD dan mengirimkan ID perangkat dan sertifikat perangkat ke klien.
H
Pendaftaran perangkat selesai dengan menerima ID perangkat dan sertifikat perangkat dari Azure DRS. ID perangkat disimpan untuk referensi di masa mendatang (dapat dilihat dari dsregcmd.exe /status), dan sertifikat perangkat diinstal di Penyimpanan privat komputer. Setelah pendaftaran perangkat selesai, tugas akan ditutup.
Tergabung dengan Azure AD hibrida dalam Lingkungan terfederasi
=
Fase
Deskripsi
A
Pengguna masuk ke komputer Windows 10 atau yang lebih baru yang tergabung dengan domain menggunakan kredensial domain. Info masuk ini dapat berupa nama pengguna dan kata sandi atau autentikasi kartu pintar. Pengguna masuk memicu tugas Bergabung dengan Perangkat Otomatis. Tugas Bergabung dengan Perangkat Otomatis dipicu pada saat bergabung dengan domain dan diulangi setiap jam. Ini tidak hanya tergantung pada peristiwa pengguna masuk.
B
Tugas mengkueri Direktori Aktif menggunakan protokol LDAP untuk atribut kata kunci pada titik koneksi layanan yang disimpan dalam partisi konfigurasi di Direktori Aktif (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Nilai yang dikembalikan dalam atribut kata kunci menentukan apakah pendaftaran perangkat diarahkan ke Azure Device Registration Service (ADRS) atau layanan pendaftaran perangkat perusahaan yang dihosting secara lokal.
C
Untuk lingkungan federasi, komputer mengautentikasi titik akhir pendaftaran perangkat perusahaan menggunakan Autentikasi Terpadu Windows. Layanan pendaftaran perangkat perusahaan membuat dan mengembalikan token yang mencakup klaim untuk GUID objek, SID komputer, dan status tergabung dengan domain. Tugas ini mengirimkan token dan klaim ke Azure AD di mana token dan klaim tersebut akan divalidasi. Azure AD mengembalikan token ID ke tugas yang sedang berjalan.
D
Aplikasi ini membuat pasangan kunci RSA 2048 bit yang terikat TPM (pilihan) yang dikenal sebagai kunci perangkat (dkpub/dkpriv). Aplikasi ini membuat permintaan sertifikat menggunakan dkpub dan kunci umum serta menandatangani permintaan sertifikat menggunakan dkpriv. Selanjutnya, aplikasi ini mengambil pasangan kunci kedua dari kunci akar penyimpanan TPM. Kunci ini adalah kunci transportasi (tkpub/tkpriv).
E
Untuk menyediakan SSO untuk aplikasi terfederasi lokal, tugas meminta PRT perusahaan dari STS lokal. Windows Server 2016 yang menjalankan peran Layanan Federasi Direktori Aktif memvalidasi permintaan dan mengembalikannya ke tugas yang sedang berjalan.
F
Tugas ini mengirimkan permintaan pendaftaran perangkat ke Azure DRS yang mencakup token ID, permintaan sertifikat, tkpub, dan data pengesahan. Azure DRS memvalidasi token ID, membuat ID perangkat, dan membuat sertifikat berdasarkan permintaan sertifikat yang disertakan. Azure DRS kemudian menulis objek perangkat di Azure AD dan mengirimkan ID perangkat dan sertifikat perangkat ke klien. Pendaftaran perangkat selesai dengan menerima ID perangkat dan sertifikat perangkat dari Azure DRS. ID perangkat disimpan untuk referensi di masa mendatang (dapat dilihat dari dsregcmd.exe /status), dan sertifikat perangkat diinstal di Penyimpanan privat komputer. Setelah pendaftaran perangkat selesai, tugas akan ditutup.
G
Jika tulis balik perangkat Azure AD Connect diaktifkan, Azure AD Connect meminta pembaruan dari Azure AD pada siklus sinkronisasi berikutnya (tulis balik perangkat diperlukan untuk penyebaran hibrida menggunakan kepercayaan sertifikat). Azure AD menghubungkan objek perangkat dengan objek komputer yang disinkronkan yang cocok. Azure AD Connect menerima objek perangkat yang mencakup GUID objek dan SID komputer dan menulis objek perangkat ke Direktori Aktif.
=
=
=
=
