Что такое основной маркер обновления?

  • Статья

Первичный маркер обновления (PRT) — это ключевой артефакт проверки подлинности Microsoft Entra на устройствах Windows 10 или более поздней версии, Windows Server 2016 и более поздних версий, iOS и Android. Это веб-токен JSON (JWT), специально выданный брокерам маркеров Майкрософт, чтобы включить единый вход (SSO) в приложениях, используемых на этих устройствах. В этой статье содержатся сведения о том, как выдается, используется и защищается prT на устройствах с Windows 10 или более новых версий. Мы рекомендуем использовать последние версии Windows 10, Windows 11 и Windows Server 2019+ для оптимальной работы функции единого входа.

В этой статье предполагается, что вы уже понимаете различные состояния устройства, доступные в идентификаторе Microsoft Entra ID, и как работает единый вход в Windows 10 или более поздней версии. Дополнительные сведения об устройствах в идентификаторе Microsoft Entra см. в статье "Что такое управление устройствами в идентификаторе Microsoft Entra ID?

Ключевые термины и компоненты

Следующие компоненты Windows играют ключевую роль в запросе и использовании PRT:

  • Cloud Authentication Provider (CloudAP). CloudAP — это современный поставщик проверки подлинности для входа в Windows, который проверяет вход пользователей на устройство Windows 10 и более поздних версий. CloudAP предоставляет платформу подключаемого модуля, которую поставщики удостоверений могут создавать для включения проверки подлинности в Windows с помощью учетных данных этого поставщика удостоверений.
  • Диспетчер учетных веб-записей (WAM). WAM является брокером маркеров по умолчанию на устройствах Windows 10 и более поздних версий. WAM также предоставляет платформу подключаемых модулей, на основе которой поставщики удостоверений могут создавать и включать единый вход для своих приложений, использующих этого поставщика удостоверений.
  • Подключаемый модуль Microsoft Entra CloudAP: конкретный подключаемый модуль Microsoft Entra, созданный на платформе CloudAP, который проверяет учетные данные пользователя с идентификатором Microsoft Entra во время входа в Windows.
  • Подключаемый модуль Microsoft Entra WAM: конкретный подключаемый модуль Microsoft Entra, созданный на платформе WAM, который позволяет единому входу в приложения, использующие идентификатор Microsoft Entra для проверки подлинности.
  • Dsreg: определенный компонент Microsoft Entra в Windows 10 или более поздней версии, который обрабатывает процесс регистрации устройства для всех состояний устройства.
  • Доверенный модуль платформы (TPM): TPM — это аппаратный компонент, встроенный в устройство, предоставляющее аппаратные функции безопасности для секретов пользователей и устройств. Дополнительные сведения см. в статье Общие сведения о технологии доверенного платформенного модуля.

Что содержит PRT?

PRT содержит утверждения, найденные в большинстве маркеров обновления идентификатора Microsoft Entra. Кроме того, в PRT есть некоторые утверждения для конкретных устройств. Это следующие:

  • Идентификатор устройства: PRT выдан пользователю на определенном устройстве. Утверждение кода устройства deviceID определяет устройство, на котором пользователю был выдан PRT. Это утверждение позже выдается маркерам, полученным через PRT. Утверждение кода устройства используется, чтобы определить авторизацию для условного доступа на основе соответствия или состояния устройства.
  • Ключ сеанса: ключ сеанса — это зашифрованный симметричный ключ, созданный службой проверки подлинности Microsoft Entra, выданный в рамках PRT. Сеансовый ключ выступает в качестве подтверждения владения, если PRT используется для получения маркеров для других приложений. Ключ сеанса выполняется на устройствах, присоединенных к Windows 10 или более новых, присоединенных к Microsoft Entra, или гибридных устройств, присоединенных к Microsoft Entra, если оно старше 30 дней.

Можно ли увидеть, что такое PRT?

PRT — это непрозрачный большой двоичный объект, отправленный из Microsoft Entra, содержимое которого не известно ни одному клиентскому компоненту. Вы не можете видеть, что находится внутри PRT.

Как выдается PRT?

Регистрация устройства является обязательным условием для проверки подлинности на основе устройств в идентификаторе Microsoft Entra. PRT выдается пользователям только на зарегистрированных устройствах. Более подробные сведения о регистрации устройств см. в статье Windows Hello для бизнеса и регистрация устройств. Во время регистрации устройства компонент dsreg создает два набора пар криптографических ключей:

  • ключ устройства (dkpub/dkpriv);
  • ключ транспорта (tkpub/tkpriv).

Закрытые ключи привязаны к доверенному платформенного платформенного модуля устройства, если устройство имеет действительный и функционируюющий TPM, а открытые ключи отправляются в идентификатор Microsoft Entra во время регистрации устройства. Эти ключи используются для проверки состояния устройства во время запросов PRT.

PRT выдается во время проверки подлинности пользователя на устройстве Windows 10 и более поздних версий в двух сценариях:

  • Присоединение к Microsoft Entra или гибридное присоединение к Microsoft Entra: при входе пользователя с учетными данными организации выдается PRT. Он выдается со всеми учетными данными, поддерживаемыми Windows 10 и более поздних версий, например паролем и Windows Hello для бизнеса. В этом сценарии подключаемый модуль Microsoft Entra CloudAP является основным центром для PRT.
  • Зарегистрированное устройство Microsoft Entra: PRT выдается при добавлении дополнительной рабочей учетной записи на устройство с Windows 10 или более поздней версии. Пользователи могут добавлять учетную запись в Windows 10 или более поздней версии двумя способами.
    • Добавив учетную запись с помощью запроса Разрешить организации управлять моим устройством после входа в приложение (например, Outlook).
    • Добавив учетную запись из раздела Параметры>Учетные записи>Доступ к учетной записи места работы или учебного заведения>Подключение.

В сценариях зарегистрированных устройств Microsoft Entra подключаемый модуль Microsoft Entra WAM является основным центром для PRT, так как вход Windows не происходит с этой учетной записью Microsoft Entra.

Примечание.

Сторонние поставщики удостоверений должны поддерживать протокол WS-Trust, чтобы включить выдачу PRT на устройствах Windows 10 или более новых версий. Без WS-Trust prT нельзя выдавать пользователям на гибридных устройствах Microsoft Entra, присоединенных к Microsoft Entra, или устройства, присоединенные к Microsoft Entra. Для AD FS требуются только конечные точки с именами пользователей. В AD FS, если smartcard/certificate используется во время конечных точек входа certificatemixed Windows, требуются. adfs/services/trust/13/windowstransport Оба adfs/services/trust/2005/windowstransport и должны быть включены в качестве конечных точек для интрасети только и не должны предоставляться в качестве экстрасети конечных точек с конечными точками через прокси веб-приложения.

Примечание.

Политики условного доступа Microsoft Entra не оцениваются при выпуске PRT.

Примечание.

Мы не поддерживаем сторонних поставщиков учетных данных для выдачи и продления PRT Microsoft Entra.

Какое время существования PRT?

После выдачи PRT действителен в течение 14 дней и постоянно обновляется при условии, что пользователь активно использует устройство.

Как используется PRT?

PRT используют два ключевых компонента в Windows:

  • Подключаемый модуль Microsoft Entra CloudAP: во время входа в Windows подключаемый модуль Microsoft Entra CloudAP запрашивает PRT из идентификатора Microsoft Entra с помощью учетных данных, предоставленных пользователем. Он также кэширует PRT, чтобы включить кэшированный вход, если у пользователя нет доступа к Интернету.
  • Подключаемый модуль WAM Microsoft Entra: когда пользователи пытаются получить доступ к приложениям, подключаемый модуль Microsoft Entra WAM использует PRT для включения единого входа в Windows 10 или более поздней версии. Подключаемый модуль WAM Microsoft Entra использует PRT для запроса маркеров обновления и доступа для приложений, использующих WAM для запросов маркеров. Он также позволяет выполнять единый вход в браузерах, внедряя PRT в запросы браузера. Единый вход браузера в Windows 10 или более поздней версии поддерживается в Microsoft Edge (в собственном коде), Chrome (с помощью учетных записей Windows 10 или Mozilla Firefox v91+ (параметр единого входа в Firefox Windows)

    Примечание.

    В случаях, когда у пользователя есть две учетные записи из одного клиента Microsoft Entra, вошедшего в приложение браузера, проверка подлинности устройства, предоставляемая PRT основной учетной записи, автоматически применяется ко второй учетной записи. В результате вторая учетная запись также удовлетворяет политике условного доступа на основе устройств в арендаторе.

Как обновляется PRT?

PRT обновляется двумя разными методами:

  • Подключаемый модуль Microsoft Entra CloudAP каждые 4 часа: подключаемый модуль CloudAP обновляет PRT каждые 4 часа во время входа в Windows. Если у пользователя нет подключения к Интернету в течение этого времени, подключаемый модуль CloudAP обновит PRT после подключения устройства к Интернету.
  • Подключаемый модуль Microsoft Entra WAM во время запросов маркера приложения: подключаемый модуль WAM включает единый вход на устройствах Windows 10 или более новых версий, включив автоматические запросы маркеров для приложений. Подключаемый модуль WAM может обновить PRT во время этих запросов токенов двумя способами:
    • Приложение запрашивает WAM для маркера доступа автоматически, но для этого приложения нет маркера обновления. В этом случае WAM использует PRT, чтобы запросить маркер для приложения и возвратить новый PRT в ответ.
    • Приложение запрашивает WAM для маркера доступа, но prT является недопустимым или идентификатор Microsoft Entra ID требует дополнительной авторизации (например, многофакторная проверка подлинности Microsoft Entra). В этом сценарии WAM инициирует интерактивный вход, требующий от пользователя повторной проверки подлинности или предоставления дополнительной проверки подлинности, а новый PRT выдан при успешной проверке подлинности.

В среде AD FS прямая линия зрения к контроллеру домена не требуется для продления PRT. Для продления PRT требуется только /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed конечная точка, включенная на прокси-сервере с помощью протокола WS-Trust.

Конечные точки транспорта Windows необходимы для проверки пароля только при его изменении, но не для обновления PRT.

Примечание.

Политики условного доступа Microsoft Entra не оцениваются при продлении PRT.

Основные рекомендации

  • В присоединении к Microsoft Entra и гибридных устройствах Microsoft Entra подключаемый модуль CloudAP является основным центром для PRT. Если prT обновляется во время запроса токена на основе WAM, PRT отправляется обратно в подключаемый модуль CloudAP, который проверяет допустимость PRT с идентификатором Microsoft Entra перед принятием.

Платформа Android:

  • PRT действителен в течение 90 дней и постоянно обновляется до тех пор, пока устройство используется. Однако это допустимо только в течение 14 дней, если устройство не используется.
  • PRT выдается и обновляется только во время проверки подлинности в собственном приложении. PRT не обновляется или не выпускается во время сеанса браузера.
  • Вы можете получить PRT без необходимости регистрации устройств (присоединение к рабочему месту) и включить единый вход.
  • PrTs, полученные без регистрации устройства, не могут соответствовать критериям авторизации условного доступа, которые зависят от состояния или соответствия устройства.

Как защищен PRT?

PRT защищен с помощью привязки к устройству, в которое пользователь выполнил вход. Идентификатор Microsoft Entra и Windows 10 или более поздней версии обеспечивают защиту PRT с помощью следующих методов:

  • Во время первого входа: во время первого входа prT выдается путем подписывания запросов с помощью криптографического шифрования ключа устройства, созданного во время регистрации устройства. Ключ устройства защищен модулем TPM, работающим и допустимым на устройстве, который предотвращает любой вредоносный доступ. PrT не выдается, если соответствующая подпись ключа устройства не может быть проверена.
  • Во время запросов маркера и продления: при выпуске PRT идентификатор Microsoft Entra также выдает зашифрованный ключ сеанса устройству. Он зашифрован с помощью открытого ключа транспорта (tkpub), созданного и отправленного в идентификатор Microsoft Entra в рамках регистрации устройства. Этот сеансовый ключ может быть расшифрован только закрытым ключом транспорта (tkpriv), защищенным модулем TPM. Ключ сеанса — это ключ проверки владения (POP) для любых запросов, отправленных идентификатору Microsoft Entra. Он также защищен модулем TPM, а другие компоненты ОС не могут получить к нему доступ. Запросы маркеров или запросы на продление PRT безопасно подписаны этим ключом сеанса через TPM и поэтому не могут быть изменены. Microsoft Entra запрещает любые запросы с устройства, которое не подписано соответствующим ключом сеанса.

Обеспечивая безопасность этих ключей с помощью доверенного платформенного модуля (TPM), мы улучшаем защиту PRT от вредоносных субъектов, пытающихся украсть ключи или воспроизвести PRT. Таким образом, использование доверенного платформенного модуля значительно повышает безопасность присоединенных к Microsoft Entra, гибридного соединения Microsoft Entra и зарегистрированных устройств Microsoft Entra в отношении кражи учетных данных. Для обеспечения производительности и надежности TPM 2.0 является рекомендуемой версией для всех сценариев регистрации устройств Microsoft Entra в Windows 10 или более поздней версии. Начиная с обновления Windows 10, 1903, идентификатор Microsoft Entra ID не использует TPM 1.2 для любого из указанных выше ключей из-за проблем с надежностью.

Как защищены маркеры приложений и файлы cookie браузера?

Маркеры приложений: когда маркер приложения запрашивает через WAM, идентификатор Microsoft Entra выдает маркер обновления и маркер доступа. Однако WAM возвращает маркер доступа только приложению и защищает маркер обновления в кэше, зашифровав его с помощью ключа программирования приложения защиты данных пользователя (DPAPI). WAM безопасно использует маркер обновления, подписывая запросы с помощью сеансового ключа, чтобы выдать дополнительные маркеры доступа. Ключ DPAPI защищается симметричным ключом на основе идентификатора Microsoft Entra в самом Microsoft Entra. Когда устройство должно расшифровать профиль пользователя с помощью ключа DPAPI, идентификатор Microsoft Entra предоставляет ключ DPAPI, зашифрованный ключом сеанса, который подключаемый модуль CloudAP запрашивает TPM для расшифровки. Эта возможность гарантирует согласованность при защите маркеров обновления и позволяет приложениям избежать применения собственных механизмов защиты.

Файлы cookie браузера: в Windows 10 или более поздней версии идентификатор Microsoft Entra ID поддерживает единый вход в браузере в Интернете Обозреватель и Microsoft Edge изначально, в Google Chrome через расширение учетных записей Windows 10 и в Mozilla Firefox версии 91+ с помощью параметра браузера. Система безопасности позволяет защитить не только файлы cookie, но и конечные точки, на которые отправляются эти файлы. Файлы cookie браузера защищены так же, как и PRT. Для подписывания и защиты файлов cookie используется сеансовый ключ.

Если пользователь инициирует взаимодействие с браузером, браузер (или расширение) вызывает узел собственного клиента COM. Узел собственного клиента гарантирует, что страница находится в одном из разрешенных доменов. Браузер может отправить другие параметры на узел собственного клиента, в том числе специальное значение, однако узел собственного клиента гарантирует проверку имени узла. Узел собственного клиента запрашивает файл PRT-cookie из подключаемого модуля CloudAP, который создает и подписывает его с помощью сеансового ключа, защищенного модулем TPM. Так как PRT-cookie подписан ключом сеанса, сложно изменить его. Этот ФАЙЛ PRT-cookie включен в заголовок запроса для идентификатора Microsoft Entra для проверки устройства, из которого он происходит. При использовании браузера Chrome только расширение, явно определенное в манифесте собственного узла клиента, может вызвать его, предотвращая произвольные расширения от выполнения этих запросов. После проверки файла cookie PRT идентификатор Microsoft Entra выдает файл cookie сеанса в браузере. Этот файл cookie сеанса также содержит тот же сеансовый ключ, который был выдан с помощью PRT. Во время последующих запросов сеансовый ключ проверяется с помощью эффективной привязки файла cookie к устройству и предотвращения воспроизведения из другого расположения.

Когда PRT получает утверждение MFA?

PRT может получить утверждение многофакторной проверки подлинности в определенных сценариях. Если PRT на основе MFA используется для запроса маркеров для приложений, этим маркерам передается утверждение MFA. Эта возможность упрощает работу пользователей, предотвращая необходимое прохождение MFA в каждом приложении. PRT может получить утверждение MFA следующими способами:

  • Войдите с помощью Windows Hello для бизнеса: Windows Hello для бизнеса заменяет пароли и использует криптографические ключи для обеспечения строгой двухфакторной проверки подлинности. Windows Hello для бизнеса относится к конкретному пользователю на устройстве, а для его подготовки к работе требуется MFA. Когда пользователь входит в систему с помощью Windows Hello для бизнеса, PRT пользователя получает утверждение MFA. Этот сценарий также относится к пользователям, выполняя вход с помощью смарт-карта, если интеллектуальная проверка подлинности карта создает утверждение MFA из AD FS.
    • Так как Windows Hello для бизнеса считается многофакторной проверкой подлинности, утверждение MFA обновляется при обновлении prT, поэтому длительность MFA будет постоянно расширяться при входе пользователей с помощью Windows Hello для бизнеса.
  • MFA во время интерактивного входа WAM: во время запроса маркера через WAM, если пользователю требуется сделать MFA для доступа к приложению, PRT, который обновляется во время этого взаимодействия, отпечатывается с утверждением MFA.
    • В этом случае утверждение MFA не обновляется постоянно, поэтому длительность MFA зависит от времени существования, заданного в каталоге.
    • Когда для доступа к приложению используется предыдущий PRT и RT, PRT и RT считаются первым подтверждением проверки подлинности. Новый RT требуется со вторым доказательством и отпечатанным утверждением MFA. Этот процесс также выдает новый PRT и RT.

Windows 10 и более поздних версий поддерживает секционированный список маркеров PRT отдельно для всех учетных данных. Таким образом, для каждого Windows Hello для бизнеса, пароля или смарт-карта существует PRT. Секционирование гарантирует, что утверждения MFA будут изолированы на основе используемых учетных данных и не будут смешиваться во время запросов маркеров.

Примечание.

При использовании пароля для входа в Windows 10 или более поздней версии Microsoft Entra joined или гибридного устройства Microsoft Entra MFA во время интерактивного входа WAM может потребоваться после свертки ключа сеанса, связанного с PRT.

Как PRT становится недействительным?

PRT становится недействительным в следующих случаях:

  • Недопустимый пользователь: если пользователь удален или отключен в идентификаторе Microsoft Entra, его PRT недопустим и не может использоваться для получения маркеров для приложений. Если удаленный или отключенный пользователь уже вошел на устройство раньше, он сможет входить в систему, используя кэшированные данные для входа, пока CloudAP не узнает о недопустимом состоянии. После того как CloudAP определит, что пользователь является недопустимым, он блокирует последующие входы в систему. Недопустимый пользователь автоматически блокирует вход на новые устройства, которые не кэшируют свои учетные данные.
  • Недопустимое устройство: если устройство удалено или отключено в идентификаторе Microsoft Entra, PRT, полученное на этом устройстве, является недействительным и не может использоваться для получения маркеров для других приложений. Если пользователь уже вошел в систему на недопустимом устройстве, он может и дальше это делать. Но все маркеры на устройстве недействительны, и у пользователя нет единого входа в какие-либо ресурсы с этого устройства.
  • Изменение пароля. Если пользователь получил PRT с паролем, prT недействителен идентификатором Microsoft Entra при изменении пароля. В результате изменения пароля пользователь получает новый PRT. Это недопустимое может произойти двумя разными способами:
    • Если пользователь войдет в Windows с новым паролем, CloudAP не карта старый PRT и запрашивает идентификатор Microsoft Entra для выдачи нового PRT с новым паролем. Если у пользователя нет подключения к Интернету, новый пароль не может быть проверен, Windows может потребовать, чтобы пользователь ввел свой старый пароль.
    • Если пользователь выполнил вход с помощью старого пароля или изменил пароль после входа в Windows, старый PRT используется для любых запросов маркеров на основе WAM. В этом сценарии пользователю предлагается выполнить повторную проверку подлинности во время запроса маркера WAM, после чего выдается новый PRT.
  • Проблемы доверенного платформенного модуля. Иногда TPM устройства может сбой или сбой, что привело к недоступности ключей, защищенных TPM. В этом случае устройство не может получить PRT или запрашивать маркеры с помощью существующего PRT, так как оно не может доказать владение криптографическими ключами. В результате любой существующий PRT недействителен идентификатором Microsoft Entra. Когда Windows 10 обнаруживает сбой, он инициирует поток восстановления для повторной регистрации устройства с помощью новых криптографических ключей. При гибридном присоединении Microsoft Entra, как и начальная регистрация, восстановление происходит автоматически без ввода пользователем. Для присоединенных к Microsoft Entra устройств или зарегистрированных устройств Microsoft Entra необходимо выполнить восстановление пользователем, у которого есть права администратора на устройстве. В этом сценарии поток восстановления инициируется запросом Windows, который позволяет пользователю успешно восстановить устройство.

Подробно о потоках

На следующих диаграммах показаны базовые сведения о выдаче, обновлении и использовании PRT для запроса маркера доступа для приложения. Кроме того, эти шаги также описывают, как упомянутые выше механизмы безопасности применяются во время этих взаимодействий.

Выдача PRT при первом входе

Подробное описание потока выдачи PRT при первом входе

Примечание.

На устройствах, присоединенных к Microsoft Entra, выдача PRT (шаги A-F) выполняется синхронно, прежде чем пользователь сможет войти в Windows. На гибридных устройствах, присоединенных к Microsoft Entra, локальная служба Active Directory является основным центром. Таким образом, пользователь может войти в систему Microsoft Entra hybrid joined Windows после получения TGT для входа, в то время как выдача PRT происходит асинхронно. Этот сценарий не применяется к зарегистрированным устройствам Microsoft Entra, так как вход не использует учетные данные Microsoft Entra.

Примечание.

В гибридной среде Windows, присоединенной к Microsoft Entra, выдача PRT происходит асинхронно. Выдача PRT может завершиться ошибкой из-за проблем с поставщиком федерации. Эта ошибка может привести к проблемам входа при попытке пользователей получить доступ к облачным ресурсам. Важно устранить эту проблему с поставщиком федерации.

Этап Description
а Пользователь вводит свой пароль в пользовательском интерфейсе входа. LogonUI передает учетные данные в буфер проверки подлинности в LSA, который в свою очередь внутренне передает его в CloudAP. CloudAP перенаправляет этот запрос в подключаемый модуль CloudAP.
Б Подключаемый модуль CloudAP инициирует запрос обнаружения области определения приложения для идентификации поставщика удостоверений для пользователя. Если клиент пользователя настроен поставщик федерации, идентификатор Microsoft Entra возвращает конечную точку Exchange метаданных поставщика метаданных поставщика федерации (MEX). Если нет, идентификатор Microsoft Entra возвращает, что пользователь управляется, указывая, что пользователь может пройти проверку подлинности с помощью идентификатора Microsoft Entra.
О Если пользователь управляется, CloudAP получает неисключаемую из идентификатора Microsoft Entra ID. Если пользователь федеративный, подключаемый модуль CloudAP запрашивает маркер языка разметки утверждения безопасности (SAML) от поставщика федерации с учетными данными пользователя. Nonce запрашивается перед отправкой маркера SAML в идентификатор Microsoft Entra.
D Подключаемый модуль CloudAP создает запрос проверки подлинности с учетными данными пользователя, nonce и брокером область, подписывает запрос с помощью ключа устройства (dkpriv) и отправляет его в идентификатор Microsoft Entra. В федеративной среде подключаемый модуль CloudAP использует токен SAML, возвращаемый поставщиком федерации, а не учетными данными пользователя.
E Идентификатор Microsoft Entra проверяет учетные данные пользователя, nonce и подпись устройства, проверяет, является ли устройство допустимым в клиенте и выдает зашифрованный PRT. Наряду с PRT идентификатор Microsoft Entra также выдает симметричный ключ, называемый ключ сеанса, зашифрованный идентификатором Microsoft Entra с помощью ключа транспорта (tkpub). Кроме того, сеансовый ключ также внедряется в маркер PRT. Сеансовый ключ выступает в качестве ключа подтверждения владения (POP) для последующих запросов с маркером PRT.
F Подключаемый модуль CloudAP передает зашифрованный маркер PRT и сеансовый ключ в CloudAP. CloudAP запросит TPM расшифровать ключ сеанса с помощью ключа транспорта (tkpriv) и повторно зашифровать его с помощью собственного ключа доверенного платформенного модуля. CloudAP сохраняет зашифрованный сеансовый ключ в своем кэше вместе с маркером PRT.

Обновление маркера PRT при последующих входах

Обновление маркера PRT при последующих входах

Этап Description
а Пользователь вводит свой пароль в пользовательском интерфейсе входа. LogonUI передает учетные данные в буфер проверки подлинности в LSA, который в свою очередь внутренне передает его в CloudAP. CloudAP перенаправляет этот запрос в подключаемый модуль CloudAP.
Б Если пользователь ранее вошел в систему, Windows инициирует кэшированный вход и проверяет учетные данные для входа пользователя. Каждые 4 часа подключаемый модуль CloudAP инициирует асинхронное обновление маркера PRT.
О Подключаемый модуль CloudAP инициирует запрос обнаружения области определения приложения для идентификации поставщика удостоверений для пользователя. Если клиент пользователя настроен поставщик федерации, идентификатор Microsoft Entra возвращает конечную точку Exchange метаданных поставщика метаданных поставщика федерации (MEX). Если нет, идентификатор Microsoft Entra возвращает, что пользователь управляется, указывая, что пользователь может пройти проверку подлинности с помощью идентификатора Microsoft Entra.
D Если пользователь федеративный, подключаемый модуль CloudAP запрашивает токен SAML от поставщика федерации с учетными данными пользователя. Nonce запрашивается перед отправкой маркера SAML в идентификатор Microsoft Entra. Если пользователь управляется, CloudAP будет напрямую получать неисключаемую из идентификатора Microsoft Entra.
E Подключаемый модуль CloudAP создает запрос проверки подлинности с учетными данными пользователя, nonce и существующим PRT, подписывает запрос с помощью ключа сеанса и отправляет его в идентификатор Microsoft Entra. В федеративной среде подключаемый модуль CloudAP использует токен SAML, возвращаемый поставщиком федерации, а не учетными данными пользователя.
F Идентификатор Microsoft Entra проверяет подпись ключа сеанса, сравнивая его с ключом сеанса, внедренным в PRT, проверяет несоответствие и проверяет, является ли устройство действительным в клиенте и выдает новый PRT. Как показано выше, маркер PRT снова сопровождается сеансовым ключом, который зашифрован ключом транспорта (tkpub).
G Подключаемый модуль CloudAP передает зашифрованный маркер PRT и сеансовый ключ в CloudAP. CloudAP запрашивает TPM расшифровать ключ сеанса с помощью ключа транспорта (tkpriv) и повторно зашифровать его с помощью собственного ключа доверенного платформенного модуля. CloudAP сохраняет зашифрованный сеансовый ключ в своем кэше вместе с маркером PRT.

Примечание.

PRT можно обновлять извне при отсутствии VPN-подключения, когда конечные точки usernamemixed включены извне.

Использование маркера PRT при запросах маркера приложения

Использование маркера PRT при запросах маркера приложения

Этап Description
а Приложение (например, Outlook, OneNote и т. д.) инициирует запрос токена в WAM. WAM, в свою очередь, запрашивает подключаемый модуль WAM Microsoft Entra для обслуживания запроса маркера.
Б Если маркер обновления для приложения уже доступен, подключаемый модуль Microsoft Entra WAM использует его для запроса маркера доступа. Чтобы обеспечить подтверждение привязки устройства, подключаемый модуль WAM подписывает запрос с помощью сеансового ключа. Идентификатор Microsoft Entra проверяет ключ сеанса и выдает маркер доступа и новый маркер обновления для приложения, зашифрованный ключом сеанса. Подключаемый модуль WAM запрашивает подключаемый модуль Cloud AP для расшифровки маркеров, который, в свою очередь, запрашивает модуль TPM для расшифровки с помощью сеансового ключа. В результате чего подключаемый модуль WAM получает оба маркера. Затем подключаемый модуль WAM предоставляет только маркер доступа к приложению, в то время как он повторно расшифровывает маркер обновления с помощью DPAPI и сохраняет его в собственном кэше.
О Если маркер обновления для приложения недоступен, подключаемый модуль Microsoft Entra WAM использует PRT для запроса маркера доступа. Чтобы подтвердить владения, подключаемый модуль WAM подписывает запрос, содержащий маркер PRT, с помощью сеансового ключа. Идентификатор Microsoft Entra проверяет подпись ключа сеанса, сравнивая его с ключом сеанса, внедренным в PRT, проверяет, является ли устройство допустимым и выдает маркер доступа и маркер обновления для приложения. Кроме того, идентификатор Microsoft Entra может выдавать новый PRT (на основе цикла обновления), все из них зашифрованы ключом сеанса.
D Подключаемый модуль WAM запрашивает подключаемый модуль Cloud AP для расшифровки маркеров, который, в свою очередь, запрашивает модуль TPM для расшифровки с помощью сеансового ключа. В результате чего подключаемый модуль WAM получает оба маркера. Затем подключаемый модуль WAM предоставляет только маркер доступа к приложению, а он повторно расшифровывает маркер обновления с помощью DPAPI и сохраняет его в собственном кэше. Подключаемый модуль WAM использует маркер обновления для этого приложения. Подключаемый модуль WAM также возвращает новый подключаемый модуль PRT в CloudAP, который проверяет PRT с идентификатором Microsoft Entra, прежде чем обновлять его в собственном кэше. Подключаемый модуль CloudAP использует новый PRT.
E WAM предоставляет вновь выданный маркер доступа для WAM, который, в свою очередь, предоставляет его обратно вызывающему приложению.

Единый вход в браузер с помощью маркера PRT

Единый вход в браузер с помощью маркера PRT

Этап Description
а Пользователь входит в Windows с помощью своих учетных данных для получения маркера PRT. Когда пользователь открывает браузер, он (или расширение) загружает URL-адреса из реестра.
Б Когда пользователь открывает URL-адрес для входа Microsoft Entra, браузер или расширение проверяет URL-адрес с теми, которые были получены из реестра. Если они совпадают, браузер вызывает узел собственного клиента для получения маркера.
О Узел собственного клиента проверяет, принадлежат ли URL-адреса поставщикам удостоверений Майкрософт (учетной записи Майкрософт или идентификатору Microsoft Entra), извлекает неисправную отправку из URL-адреса и вызывает подключаемый модуль CloudAP для получения файла cookie PRT.
D Подключаемый модуль CloudAP создает файл cookie PRT, войдите с помощью ключа сеанса, привязанного к TPM, и отправьте его обратно на собственный узел клиента.
E Узел собственного клиента возвращает этот файл cookie PRT в браузер, который включает его в заголовок запроса x-ms-RefreshTokenCredential и маркеры запроса из идентификатора Microsoft Entra.
F Идентификатор Microsoft Entra проверяет подпись ключа сеанса в файле cookie PRT, проверяет нецелесовую проверку, проверяет, является ли устройство допустимым в клиенте, и выдает маркер идентификатора для веб-страницы и зашифрованный файл cookie сеанса для браузера.

Примечание.

Поток единого входа браузера, описанный в предыдущих шагах, не применяется для сеансов в частных режимах, таких как InPrivate в Microsoft Edge, Incognito в Google Chrome (при использовании расширения учетных записей Майкрософт) или в частном режиме в Mozilla Firefox v91+

Следующие шаги

Дополнительные сведения об устранении неполадок, связанных с PRT, см. в статье по устранению неполадок, связанных с гибридным присоединением Microsoft Entra к Windows 10 или более новым устройствам и устройствам Windows Server 2016.