Como funciona: registro de dispositivo
O Registro de Dispositivos é um pré-requisito para autenticação baseada em nuvem. Normalmente, os dispositivos são Microsoft Entra ID ou Microsoft Entra ingressados híbridos para concluir o registro do dispositivo. Este artigo fornece detalhes de como o ingresso do Microsoft Entra ID e o ingresso híbrido do Microsoft Entra funcionam em ambientes gerenciados e federados. Para obter mais informações sobre como a autenticação do Microsoft Entra funciona nesses dispositivos, consulte o artigo Tokens de atualização primários.
Microsoft Entra ingressado em ambientes gerenciados
| Fase | Descrição |
|---|---|
| Um | A maneira mais comum de registrar dispositivos ingressados no Microsoft Entra é durante a OOBE (experiência inicial de uso), em que ele carrega o aplicativo Web de ingressado do Microsoft Entra no aplicativo CXH (Cloud Experience Host). O aplicativo envia uma solicitação GET para o ponto de extremidade de configuração do OpenID do Microsoft Entra para descobrir pontos de extremidade de autorização. O Microsoft Entra ID retorna a configuração do OpenID, que inclui os pontos de extremidade de autorização, para o aplicativo como um documento JSON. |
| B | O aplicativo cria uma solicitação de credencial para o ponto de extremidade de autorização e coleta as credenciais do usuário. |
| C | Depois que o usuário fornece o nome de usuário (no formato UPN), o aplicativo envia uma solicitação GET ao Microsoft Entra ID para descobrir informações de realm correspondentes ao usuário. Essas informações determinam se o ambiente é gerenciado ou federado. O Microsoft Entra ID retorna as informações em um objeto JSON. O aplicativo determina se o ambiente é gerenciado (não federado). A última etapa dessa fase faz com que o aplicativo crie um buffer de autenticação e, se está em OOBE, armazena-o temporariamente em cache para entrada automática quando o OOBE finalizar. O aplicativo posta as credenciais para o Microsoft Entra ID onde elas são validadas. O Microsoft Entra ID retorna um token de ID com declarações. |
| D | O aplicativo procura termos de uso do MDM (a declaração mdm_tou_url). Se está presente, o aplicativo recupera os termos de uso do valor da declaração, apresenta o conteúdo ao usuário e aguarda que o usuário aceite os termos de uso. Essa etapa será opcional e ignorada se a declaração não estiver presente ou se o valor da declaração estiver vazio. |
| E | O aplicativo envia uma solicitação de descoberta de registro de dispositivo para o ADRS (Serviço de Registro de Dispositivo do Azure). O ADRS retorna um documento de dados de descoberta, que retorna URIs específicos do locatário para concluir o registro do dispositivo. |
| F | O aplicativo cria um par de chaves RSA de 2048 bits (preferencial) com limite de TPM conhecido como a chave do dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Essa é a chave de transporte (tkpub/tkpriv). |
| G | O aplicativo envia uma solicitação de registro de dispositivo para o ADRS que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O ADRS valida o token de ID, cria uma identidade de dispositivo e um certificado com base na solicitação de certificado incluída. O Serviço de Replicação de Dados do Azure grava um objeto de dispositivo no Microsoft Entra ID e envia a identidade e o certificado do dispositivo para o cliente. |
| H | O registro do dispositivo é concluído recebendo a identidade e o certificado do dispositivo do ADRS. A identidade do dispositivo é salva para futura referência (visível em dsregcmd.exe /status), e o certificado do dispositivo é instalado no armazenamento pessoal do computador. Após a conclusão do registro do dispositivo, o processo continua com o registro de MDM. |
Microsoft Entra ingressado em ambientes federados
| Fase | Descrição |
|---|---|
| Um | A maneira mais comum de registrar dispositivos ingressados no Microsoft Entra é durante a OOBE (experiência inicial de uso), em que ele carrega o aplicativo Web de ingressado do Microsoft Entra no aplicativo CXH (Cloud Experience Host). O aplicativo envia uma solicitação GET para o ponto de extremidade de configuração do OpenID do Microsoft Entra para descobrir pontos de extremidade de autorização. O Microsoft Entra ID retorna a configuração do OpenID, que inclui os pontos de extremidade de autorização, para o aplicativo como um documento JSON. |
| B | O aplicativo cria uma solicitação de credencial para o ponto de extremidade de autorização e coleta as credenciais do usuário. |
| C | Depois que o usuário fornece o nome de usuário (no formato UPN), o aplicativo envia uma solicitação GET ao Microsoft Entra ID para descobrir informações de realm correspondentes ao usuário. Essas informações determinam se o ambiente é gerenciado ou federado. O Microsoft Entra ID retorna as informações em um objeto JSON. O aplicativo determina se o ambiente é federado. O aplicativo é redirecionado para o valor AuthURL (página de entrada do STS local) no objeto de realm JSON retornado. O aplicativo coleta credenciais por meio da página da Web do STS. |
| D | O aplicativo posta a credencial para o STS local, o que pode exigir fatores extras de autenticação. O STS local autentica o usuário e retorna um token. O aplicativo posta o token para Microsoft Entra ID para autenticação. O Microsoft Entra ID valida o token e retorna um token de ID com declarações. |
| E | O aplicativo procura termos de uso do MDM (a declaração mdm_tou_url). Se está presente, o aplicativo recupera os termos de uso do valor da declaração, apresenta o conteúdo ao usuário e aguarda que o usuário aceite os termos de uso. Essa etapa será opcional e ignorada se a declaração não estiver presente ou se o valor da declaração estiver vazio. |
| F | O aplicativo envia uma solicitação de descoberta de registro de dispositivo para o ADRS (Serviço de Registro de Dispositivo do Azure). O ADRS retorna um documento de dados de descoberta, que retorna URIs específicos do locatário para concluir o registro do dispositivo. |
| G | O aplicativo cria um par de chaves RSA de 2048 bits (preferencial) com limite de TPM conhecido como a chave do dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Essa é a chave de transporte (tkpub/tkpriv). |
| H | O aplicativo envia uma solicitação de registro de dispositivo para o ADRS que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O ADRS valida o token de ID, cria uma identidade de dispositivo e um certificado com base na solicitação de certificado incluída. O Serviço de Replicação de Dados do Azure grava um objeto de dispositivo no Microsoft Entra ID e envia a identidade e o certificado do dispositivo para o cliente. |
| I | O registro do dispositivo é concluído recebendo a identidade e o certificado do dispositivo do ADRS. A identidade do dispositivo é salva para futura referência (visível em dsregcmd.exe /status), e o certificado do dispositivo é instalado no armazenamento pessoal do computador. Após a conclusão do registro do dispositivo, o processo continua com o registro de MDM. |
Microsoft Entra ingressado híbrido em ambientes gerenciados
| Fase | Descrição |
|---|---|
| Um | O usuário se conecta a um computador Windows 10 ou mais recente ingressado no domínio usando credenciais de domínio. Essa credencial pode ser o nome de usuário e a senha ou a autenticação de cartão inteligente. A entrada do usuário dispara a tarefa de Ingresso de Dispositivo Automático. As tarefas de Ingresso de Dispositivo Automático são disparadas no ingresso no domínio e repetidas a cada hora. Ele não depende exclusivamente da entrada do usuário. |
| B | A tarefa consulta o AD DS (Active Directory Domain Services) usando o protocolo LDAP para o atributo de chave no ponto de conexão do serviço armazenado na partição de configuração no AD DS (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). O valor retornado no atributo de chave determina se o registro do dispositivo é direcionado para o ADRS ou o serviço de registro de dispositivo corporativo hospedado localmente. |
| C | Para o ambiente gerenciado, a tarefa cria uma credencial de autenticação inicial na forma de um certificado autoassinado. A tarefa grava o certificado no atributo userCertificate no objeto de computador do AD DS usando LDAP. |
| D | O computador não pode se autenticar no Serviço de Replicação de Dados do Azure até que um objeto de dispositivo que representa o computador que inclui o certificado no atributo userCertificate seja criado no Microsoft Entra ID. O Microsoft Entra Connect detecta uma alteração de atributo. No próximo ciclo de sincronização, o Microsoft Entra Connect envia o userCertificate, o GUID do objeto e o SID do computador para o ADRS. O Serviço de Replicação de Dados do Azure usa as informações de atributo para criar um objeto de dispositivo no Microsoft Entra ID. |
| E | A tarefa de Ingresso de Dispositivo Automático é disparada com cada entrada de usuário ou a cada hora e tenta autenticar o computador no Microsoft Entra ID usando a chave privada correspondente da chave pública no atributo userCertificate. O Microsoft Entra autentica o computador e emite um token de ID para o computador. |
| F | A tarefa cria um par de chaves RSA de 2048 bits (preferencial) com limite de TPM conhecido como a chave do dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Essa é a chave de transporte (tkpub/tkpriv). |
| G | A tarefa envia uma solicitação de registro de dispositivo para o ADRS que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O ADRS valida o token de ID, cria uma identidade de dispositivo e um certificado com base na solicitação de certificado incluída. O Serviço de Replicação de Dados do Azure atualiza um objeto de dispositivo no Microsoft Entra ID e envia a identidade e o certificado do dispositivo para o cliente. |
| H | O registro do dispositivo é concluído recebendo a identidade e o certificado do dispositivo do ADRS. A identidade do dispositivo é salva para futura referência (visível em dsregcmd.exe /status), e o certificado do dispositivo é instalado no armazenamento pessoal do computador. Após a conclusão do registro do dispositivo, a tarefa é encerrada. |
Microsoft Entra ingressado híbrido em ambientes federados
| Fase | Descrição |
|---|---|
| Um | O usuário se conecta a um computador Windows 10 ou mais recente ingressado no domínio usando credenciais de domínio. Essa credencial pode ser o nome de usuário e a senha ou a autenticação de cartão inteligente. A entrada do usuário dispara a tarefa de Ingresso de Dispositivo Automático. As tarefas de Ingresso de Dispositivo Automático são disparadas no ingresso no domínio e repetidas a cada hora. Ele não depende exclusivamente da entrada do usuário. |
| B | A tarefa consulta o AD DS (Active Directory Domain Services) usando o protocolo LDAP para o atributo de chave no ponto de conexão do serviço armazenado na partição de configuração no AD DS (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). O valor retornado no atributo de chave determina se o registro do dispositivo é direcionado para o ADRS ou o serviço de registro de dispositivo corporativo hospedado localmente. |
| C | Para os ambientes federados, o computador autentica o ponto de extremidade de registro de dispositivo empresarial usando Autenticação Integrada do Windows. O serviço de registro de dispositivo empresarial cria e retorna um token que inclui declarações para o GUID do objeto, o SID do computador e o estado ingresso no domínio. A tarefa envia o token e as declarações para o Microsoft Entra ID onde eles são validados. O Microsoft Entra ID retorna um token de ID para a tarefa em execução. |
| D | O aplicativo cria um par de chaves RSA de 2048 bits (preferencial) com limite de TPM conhecido como a chave do dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Essa é a chave de transporte (tkpub/tkpriv). |
| E | Para fornecer SSO para o aplicativo federado local, a tarefa solicita um PRT corporativo do STS local. Um Windows Server 2016 que esteja executando a função AD FS (Serviços de Federação do Active Directory) valida a solicitação e retornar a tarefa em execução. |
| F | A tarefa envia uma solicitação de registro de dispositivo para o ADRS que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O ADRS valida o token de ID, cria uma identidade de dispositivo e um certificado com base na solicitação de certificado incluída. O Serviço de Replicação de Dados do Azure grava um objeto de dispositivo no Microsoft Entra ID e envia a identidade e o certificado do dispositivo para o cliente. O registro do dispositivo é concluído recebendo a identidade e o certificado do dispositivo do ADRS. A identidade do dispositivo é salva para futura referência (visível em dsregcmd.exe /status), e o certificado do dispositivo é instalado no armazenamento pessoal do computador. Após a conclusão do registro do dispositivo, a tarefa é encerrada. |
| G | Se o write-back de dispositivo do Microsoft Entra Connect estiver habilitado, o Azure AD Connect solicitará atualizações do Microsoft Entra ID em seu próximo ciclo de sincronização (o write-back do dispositivo é necessário para implantação híbrida que usa a confiança de certificado). O Microsoft Entra ID correlaciona o objeto de dispositivo com um objeto de computador sincronizado correspondente. O Microsoft Entra Connect recebe o objeto de dispositivo que inclui o GUID do objeto e o SID do computador e grava o objeto de dispositivo no AD DS. |