Cara kerjanya: Pendaftaran perangkat
Pendaftaran Perangkat adalah prasyarat untuk autentikasi berbasis cloud. Umumnya, perangkat adalah ID Microsoft Entra atau Microsoft Entra hybrid yang bergabung untuk menyelesaikan pendaftaran perangkat. Artikel ini menyediakan detail tentang cara kerja gabungan Microsoft Entra dan gabungan hibrid Microsoft Entra di lingkungan terkelola dan federasi. Untuk informasi selengkapnya tentang cara kerja autentikasi Microsoft Entra pada perangkat ini, lihat artikel Token refresh utama.
Microsoft Entra bergabung di lingkungan Terkelola
| Fase | Deskripsi |
|---|---|
| A | Cara paling umum pendaftaran perangkat yang bergabung dengan Microsoft Entra adalah selama pengalaman di luar kotak (OOBE) di mana ia memuat aplikasi web gabungan Microsoft Entra di aplikasi Cloud Experience Host (CXH). Aplikasi mengirimkan permintaan GET ke titik akhir konfigurasi Microsoft Entra OpenID untuk menemukan titik akhir otorisasi. MICROSOFT Entra ID mengembalikan konfigurasi OpenID, yang mencakup titik akhir otorisasi, ke aplikasi sebagai dokumen JSON. |
| B | Aplikasi ini membuat permintaan masuk untuk titik akhir otorisasi dan mengumpulkan info masuk pengguna. |
| C | Setelah pengguna memberikan nama pengguna mereka (dalam format UPN), aplikasi mengirimkan permintaan GET ke ID Microsoft Entra untuk menemukan informasi realm yang sesuai untuk pengguna. Informasi ini menentukan apakah lingkungan merupakan lingkungan terkelola atau terfederasi. MICROSOFT Entra ID mengembalikan informasi dalam objek JSON. Aplikasi menentukan bahwa lingkungan merupakan lingkungan terkelola (bukan terfederasi). Langkah terakhir dalam fase ini adalah aplikasi membuat buffer autentikasi dan jika di OOBE, menyimpannya untuk sementara guna masuk secara otomatis di akhir OOBE. Aplikasi MEMPOSISIkan kredensial ke ID Microsoft Entra tempat mereka divalidasi. MICROSOFT Entra ID mengembalikan token ID dengan klaim. |
| D | Aplikasi mencari ketentuan penggunaan MDM (klaim mdm_tou_url). Jika ada, aplikasi mengambil ketentuan penggunaan dari nilai klaim, menampilkan konten kepada pengguna, dan menunggu pengguna untuk menyetujui ketentuan penggunaan. Langkah ini opsional dan dilewati jika klaim tidak ada atau jika nilai klaim kosong. |
| E | Aplikasi ini mengirimkan permintaan penemuan pendaftaran perangkat ke Azure Device Registration Service (ADRS). Azure DRS mengembalikan dokumen data penemuan, yang mengembalikan URI khusus penyewa untuk menyelesaikan pendaftaran perangkat. |
| F | Aplikasi ini membuat pasangan kunci RSA 2048 bit yang terikat TPM (pilihan) yang dikenal sebagai kunci perangkat (dkpub/dkpriv). Aplikasi ini membuat permintaan sertifikat menggunakan dkpub dan kunci umum serta menandatangani permintaan sertifikat menggunakan dkpriv. Selanjutnya, aplikasi ini mengambil pasangan kunci kedua dari kunci akar penyimpanan TPM. Kunci ini adalah kunci transportasi (tkpub/tkpriv). |
| G | Aplikasi mengirimkan permintaan pendaftaran perangkat ke Azure DRS yang mencakup token ID, permintaan sertifikat, tkpub, dan data pengesahan. Azure DRS memvalidasi token ID, membuat ID perangkat, dan membuat sertifikat berdasarkan permintaan sertifikat yang disertakan. Azure DRS kemudian menulis objek perangkat di ID Microsoft Entra dan mengirim ID perangkat dan sertifikat perangkat ke klien. |
| H | Pendaftaran perangkat selesai dengan menerima ID perangkat dan sertifikat perangkat dari Azure DRS. ID perangkat disimpan untuk referensi di masa mendatang (dapat dilihat dari dsregcmd.exe /status), dan sertifikat perangkat diinstal di Penyimpanan privat komputer. Setelah pendaftaran perangkat selesai, proses berlanjut dengan pendaftaran MDM. |
Microsoft Entra bergabung di lingkungan Federasi
| Fase | Deskripsi |
|---|---|
| A | Cara paling umum pendaftaran perangkat yang bergabung dengan Microsoft Entra adalah selama pengalaman di luar kotak (OOBE) di mana ia memuat aplikasi web gabungan Microsoft Entra di aplikasi Cloud Experience Host (CXH). Aplikasi mengirimkan permintaan GET ke titik akhir konfigurasi Microsoft Entra OpenID untuk menemukan titik akhir otorisasi. MICROSOFT Entra ID mengembalikan konfigurasi OpenID, yang mencakup titik akhir otorisasi, ke aplikasi sebagai dokumen JSON. |
| B | Aplikasi ini membuat permintaan masuk untuk titik akhir otorisasi dan mengumpulkan info masuk pengguna. |
| C | Setelah pengguna memberikan nama pengguna mereka (dalam format UPN), aplikasi mengirimkan permintaan GET ke ID Microsoft Entra untuk menemukan informasi realm yang sesuai untuk pengguna. Informasi ini menentukan apakah lingkungan merupakan lingkungan terkelola atau terfederasi. MICROSOFT Entra ID mengembalikan informasi dalam objek JSON. Aplikasi ini menentukan bahwa lingkungan merupakan lingkungan terfederasi. Aplikasi ini mengalihkan ke nilai AuthURL (halaman masuk STS di lokal) di objek realm JSON yang dikembalikan. Aplikasi ini mengumpulkan info masuk melalui halaman web STS. |
| D | Aplikasi POST info masuk ke STS lokal, yang mungkin memerlukan faktor autentikasi tambahan. STS lokal mengautentikasi pengguna dan mengembalikan token. Aplikasi MEMPOST token ke ID Microsoft Entra untuk autentikasi. MICROSOFT Entra ID memvalidasi token dan mengembalikan token ID dengan klaim. |
| E | Aplikasi mencari ketentuan penggunaan MDM (klaim mdm_tou_url). Jika ada, aplikasi mengambil ketentuan penggunaan dari nilai klaim, menampilkan konten kepada pengguna, dan menunggu pengguna untuk menyetujui ketentuan penggunaan. Langkah ini opsional dan dilewati jika klaim tidak ada atau jika nilai klaim kosong. |
| F | Aplikasi ini mengirimkan permintaan penemuan pendaftaran perangkat ke Azure Device Registration Service (ADRS). Azure DRS mengembalikan dokumen data penemuan, yang mengembalikan URI khusus penyewa untuk menyelesaikan pendaftaran perangkat. |
| G | Aplikasi ini membuat pasangan kunci RSA 2048 bit yang terikat TPM (pilihan) yang dikenal sebagai kunci perangkat (dkpub/dkpriv). Aplikasi ini membuat permintaan sertifikat menggunakan dkpub dan kunci umum serta menandatangani permintaan sertifikat menggunakan dkpriv. Selanjutnya, aplikasi ini mengambil pasangan kunci kedua dari kunci akar penyimpanan TPM. Kunci ini adalah kunci transportasi (tkpub/tkpriv). |
| H | Aplikasi mengirimkan permintaan pendaftaran perangkat ke Azure DRS yang mencakup token ID, permintaan sertifikat, tkpub, dan data pengesahan. Azure DRS memvalidasi token ID, membuat ID perangkat, dan membuat sertifikat berdasarkan permintaan sertifikat yang disertakan. Azure DRS kemudian menulis objek perangkat di ID Microsoft Entra dan mengirim ID perangkat dan sertifikat perangkat ke klien. |
| I | Pendaftaran perangkat selesai dengan menerima ID perangkat dan sertifikat perangkat dari Azure DRS. ID perangkat disimpan untuk referensi di masa mendatang (dapat dilihat dari dsregcmd.exe /status), dan sertifikat perangkat diinstal di Penyimpanan privat komputer. Setelah pendaftaran perangkat selesai, proses berlanjut dengan pendaftaran MDM. |
Microsoft Entra hybrid bergabung di lingkungan Terkelola
| Fase | Deskripsi |
|---|---|
| A | Pengguna masuk ke komputer Windows 10 atau yang lebih baru yang tergabung dengan domain menggunakan kredensial domain. Info masuk ini dapat berupa nama pengguna dan kata sandi atau autentikasi kartu pintar. Pengguna masuk memicu tugas Bergabung dengan Perangkat Otomatis. Tugas Bergabung dengan Perangkat Otomatis dipicu pada saat bergabung dengan domain dan diulangi setiap jam. Ini tidak hanya tergantung pada peristiwa pengguna masuk. |
| B | Tugas mengkueri Direktori Aktif menggunakan protokol LDAP untuk atribut kata kunci pada titik koneksi layanan yang disimpan dalam partisi konfigurasi di Direktori Aktif (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Nilai yang dikembalikan dalam atribut kata kunci menentukan apakah pendaftaran perangkat diarahkan ke Azure Device Registration Service (ADRS) atau layanan pendaftaran perangkat perusahaan yang dihosting secara lokal. |
| C | Untuk lingkungan terkelola, tugas membuat info masuk autentikasi awal dalam bentuk sertifikat yang ditandatangani sendiri. Tugas menulis sertifikat ke atribut userCertificate pada objek komputer di Direktori Aktif menggunakan LDAP. |
| D | Komputer tidak dapat mengautentikasi ke Azure DRS hingga objek perangkat yang mewakili komputer yang menyertakan sertifikat pada atribut userCertificate dibuat di ID Microsoft Entra. Microsoft Entra Koneksi mendeteksi perubahan atribut. Pada siklus sinkronisasi berikutnya, Microsoft Entra Koneksi mengirimkan userCertificate, GUID objek, dan SID komputer ke Azure DRS. Azure DRS menggunakan informasi atribut untuk membuat objek perangkat di ID Microsoft Entra. |
| E | Tugas Gabung Perangkat Otomatis dipicu dengan setiap pengguna masuk atau setiap jam, dan mencoba mengautentikasi komputer ke ID Microsoft Entra menggunakan kunci privat yang sesuai dari kunci publik di atribut userCertificate. Microsoft Entra mengautentikasi komputer dan mengeluarkan token ID ke komputer. |
| F | Tugas ini membuat pasangan kunci RSA 2048 bit yang terikat TPM (pilihan) yang dikenal sebagai kunci perangkat (dkpub/dkpriv). Aplikasi ini membuat permintaan sertifikat menggunakan dkpub dan kunci umum serta menandatangani permintaan sertifikat menggunakan dkpriv. Selanjutnya, aplikasi ini mengambil pasangan kunci kedua dari kunci akar penyimpanan TPM. Kunci ini adalah kunci transportasi (tkpub/tkpriv). |
| G | Tugas ini mengirimkan permintaan pendaftaran perangkat ke Azure DRS yang mencakup token ID, permintaan sertifikat, tkpub, dan data pengesahan. Azure DRS memvalidasi token ID, membuat ID perangkat, dan membuat sertifikat berdasarkan permintaan sertifikat yang disertakan. Azure DRS kemudian memperbarui objek perangkat di ID Microsoft Entra dan mengirim ID perangkat dan sertifikat perangkat ke klien. |
| H | Pendaftaran perangkat selesai dengan menerima ID perangkat dan sertifikat perangkat dari Azure DRS. ID perangkat disimpan untuk referensi di masa mendatang (dapat dilihat dari dsregcmd.exe /status), dan sertifikat perangkat diinstal di Penyimpanan privat komputer. Setelah pendaftaran perangkat selesai, tugas akan ditutup. |
Microsoft Entra hybrid bergabung di lingkungan Federasi
| Fase | Deskripsi |
|---|---|
| A | Pengguna masuk ke komputer Windows 10 atau yang lebih baru yang tergabung dengan domain menggunakan kredensial domain. Info masuk ini dapat berupa nama pengguna dan kata sandi atau autentikasi kartu pintar. Pengguna masuk memicu tugas Bergabung dengan Perangkat Otomatis. Tugas Bergabung dengan Perangkat Otomatis dipicu pada saat bergabung dengan domain dan diulangi setiap jam. Ini tidak hanya tergantung pada peristiwa pengguna masuk. |
| B | Tugas mengkueri Direktori Aktif menggunakan protokol LDAP untuk atribut kata kunci pada titik koneksi layanan yang disimpan dalam partisi konfigurasi di Direktori Aktif (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Nilai yang dikembalikan dalam atribut kata kunci menentukan apakah pendaftaran perangkat diarahkan ke Azure Device Registration Service (ADRS) atau layanan pendaftaran perangkat perusahaan yang dihosting secara lokal. |
| C | Untuk lingkungan federasi, komputer mengautentikasi titik akhir pendaftaran perangkat perusahaan menggunakan Autentikasi Terpadu Windows. Layanan pendaftaran perangkat perusahaan membuat dan mengembalikan token yang mencakup klaim untuk GUID objek, SID komputer, dan status tergabung dengan domain. Tugas mengirimkan token dan klaim ke ID Microsoft Entra tempat mereka divalidasi. MICROSOFT Entra ID mengembalikan token ID ke tugas yang sedang berjalan. |
| D | Aplikasi ini membuat pasangan kunci RSA 2048 bit yang terikat TPM (pilihan) yang dikenal sebagai kunci perangkat (dkpub/dkpriv). Aplikasi ini membuat permintaan sertifikat menggunakan dkpub dan kunci umum serta menandatangani permintaan sertifikat menggunakan dkpriv. Selanjutnya, aplikasi ini mengambil pasangan kunci kedua dari kunci akar penyimpanan TPM. Kunci ini adalah kunci transportasi (tkpub/tkpriv). |
| E | Untuk menyediakan SSO untuk aplikasi terfederasi lokal, tugas meminta PRT perusahaan dari STS lokal. Windows Server 2016 yang menjalankan peran Layanan Federasi Direktori Aktif memvalidasi permintaan dan mengembalikannya ke tugas yang sedang berjalan. |
| F | Tugas ini mengirimkan permintaan pendaftaran perangkat ke Azure DRS yang mencakup token ID, permintaan sertifikat, tkpub, dan data pengesahan. Azure DRS memvalidasi token ID, membuat ID perangkat, dan membuat sertifikat berdasarkan permintaan sertifikat yang disertakan. Azure DRS kemudian menulis objek perangkat di ID Microsoft Entra dan mengirim ID perangkat dan sertifikat perangkat ke klien. Pendaftaran perangkat selesai dengan menerima ID perangkat dan sertifikat perangkat dari Azure DRS. ID perangkat disimpan untuk referensi di masa mendatang (dapat dilihat dari dsregcmd.exe /status), dan sertifikat perangkat diinstal di Penyimpanan privat komputer. Setelah pendaftaran perangkat selesai, tugas akan ditutup. |
| G | Jika tulis balik perangkat Microsoft Entra Koneksi diaktifkan, Microsoft Entra Koneksi meminta pembaruan dari ID Microsoft Entra pada siklus sinkronisasi berikutnya (tulis balik perangkat diperlukan untuk penyebaran hibrid menggunakan kepercayaan sertifikat). ID Microsoft Entra menghubungkan objek perangkat dengan objek komputer yang disinkronkan yang cocok. Microsoft Entra Koneksi menerima objek perangkat yang menyertakan GUID objek dan SID komputer dan menulis objek perangkat ke Direktori Aktif. |