裝置註冊是雲端式驗證的必要條件。 一般而言,裝置為 Microsoft Entra 識別碼或已加入 Microsoft Entra 混合式,以完成裝置註冊。 本文提供 Microsoft Entra Join 和 Microsoft Entra 混合式聯結在受管理和同盟環境中運作方式的詳細資料。 如需 Microsoft Entra 驗證在這些裝置上運作方式的詳細資訊,請參閱主要重新整理權杖 一文 。
已加入受控環境中的 Microsoft Entra
階段
描述
A
Microsoft Entra 加入裝置註冊最常見的方式是在現用體驗 (OOBE) 期間,它會在雲端體驗主機 (CXH) 應用程式中載入 Microsoft Entra join Web 應用程式。 應用程式會將 GET 要求傳送至 Microsoft Entra OpenID 組態端點,以探索授權端點。 Microsoft Entra ID 會將包含授權端點的 OpenID 組態傳回應用程式作為 JSON 檔。
B
應用程式會建置授權端點的登入要求,並收集使用者認證。
C
在使用者提供其使用者名稱(以 UPN 格式)之後,應用程式會將 GET 要求傳送給 Microsoft Entra ID,以探索使用者的對應領域資訊。 這項資訊會判斷環境是否受管理或同盟。 Microsoft Entra ID 會傳回 JSON 物件中的資訊。 應用程式會判斷環境受管理(非同盟)。
此階段的最後一個步驟會讓應用程式建立驗證緩衝區,如果在 OOBE 中,請暫時快取它以在 OOBE 結尾自動登入。 應用程式會將認證 POST 到 Microsoft Entra ID 進行驗證。 Microsoft Entra ID 會傳回具有宣告的識別碼權杖。
Microsoft Entra 加入裝置註冊最常見的方式是在現用體驗 (OOBE) 期間,它會在雲端體驗主機 (CXH) 應用程式中載入 Microsoft Entra join Web 應用程式。 應用程式會將 GET 要求傳送至 Microsoft Entra OpenID 組態端點,以探索授權端點。 Microsoft Entra ID 會將包含授權端點的 OpenID 組態傳回應用程式作為 JSON 檔。
B
應用程式會建置授權端點的登入要求,並收集使用者認證。
C
在使用者提供其使用者名稱(以 UPN 格式)之後,應用程式會將 GET 要求傳送給 Microsoft Entra ID,以探索使用者的對應領域資訊。 這項資訊會判斷環境是否受管理或同盟。 Microsoft Entra ID 會傳回 JSON 物件中的資訊。 應用程式會決定環境為同盟。
使用者使用網域認證登入已加入網域的 Windows 10 或更新版本電腦。 此認證可以是使用者名稱和密碼或智慧卡驗證。 使用者登入會觸發自動裝置加入工作。 自動裝置加入工作會在加入網域時觸發,每小時重試一次。 它不只取決於使用者登入。
B
工作會使用 LDAP 通訊協定查詢 Active Directory,以取得儲存在 Active Directory 中組態分割區中之服務連接點上的關鍵字屬性。 CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com 關鍵字屬性中傳回的值會判斷裝置註冊是否導向至 Azure 裝置註冊服務 (ADRS) 或裝載于內部部署的企業裝置註冊服務。
C
針對同盟環境,電腦會使用 Windows 整合式驗證來驗證企業裝置註冊端點。 企業裝置註冊服務會建立並傳回權杖,其中包含物件 GUID、電腦 SID 和已加入網域狀態的宣告。 工作會將權杖和宣告提交至已驗證的 Microsoft Entra 識別碼。 Microsoft Entra ID 會將識別碼權杖傳回執行中工作。
如果啟用 Microsoft Entra 連線裝置回寫,Microsoft Entra 連線在下一個同步處理週期要求 Microsoft Entra ID 的更新(使用憑證信任的混合式部署需要裝置回寫)。 Microsoft Entra ID 會將裝置物件與相符的同步處理電腦物件相互關聯。 Microsoft Entra 連線會接收包含物件 GUID 和電腦 SID 的裝置物件,並將裝置物件寫入 Active Directory。