Что такое основной маркер обновления?

Первичный маркер обновления (PRT) — это ключевой артефакт проверки подлинности Microsoft Entra на устройствах Windows 10 или более поздней версии, Windows Server 2016 и более поздних версий, iOS и Android. Это веб-токен JSON (JWT), специально выданный брокерам маркеров Майкрософт, чтобы включить единый вход (SSO) в приложениях, используемых на этих устройствах. В этой статье содержатся сведения о том, как выдается, используется и защищается prT на устройствах с Windows 10 или более новых версий. Мы рекомендуем использовать последние версии Windows 10, Windows 11 и Windows Server 2019+, чтобы получить лучший единый вход.

В этой статье предполагается, что вы уже понимаете различные состояния устройства, доступные в идентификаторе Microsoft Entra ID, и как работает единый вход в Windows 10 или более поздней версии. Дополнительные сведения об устройствах в идентификаторе Microsoft Entra см. в статье "Что такое управление устройствами в идентификаторе Microsoft Entra ID?

Ключевые терминологии и компоненты

Следующие компоненты Windows играют ключевую роль в запросе и использовании PRT:

  • Поставщик облачной проверки подлинности (CloudAP): CloudAP — это современный поставщик проверки подлинности для входа в Windows, который проверяет ведение журнала пользователей на устройстве Windows 10 или более поздней версии. CloudAP предоставляет платформу подключаемого модуля, которую поставщики удостоверений могут создавать для включения проверки подлинности в Windows с помощью учетных данных этого поставщика удостоверений.
  • Диспетчер веб-учетных записей (WAM): WAM — это брокер маркеров по умолчанию на устройствах Windows 10 или более новых версий. WAM также предоставляет платформу подключаемого модуля, на основе которую поставщики удостоверений могут создавать и включать единый вход в свои приложения, основанные на этом поставщике удостоверений.
  • Подключаемый модуль Microsoft Entra CloudAP: конкретный подключаемый модуль Microsoft Entra, созданный на платформе CloudAP, который проверяет учетные данные пользователя с идентификатором Microsoft Entra во время входа в Windows.
  • Подключаемый модуль Microsoft Entra WAM: конкретный подключаемый модуль Microsoft Entra, созданный на платформе WAM, который позволяет единому входу в приложения, использующие идентификатор Microsoft Entra для проверки подлинности.
  • Dsreg: определенный компонент Microsoft Entra в Windows 10 или более поздней версии, который обрабатывает процесс регистрации устройства для всех состояний устройства.
  • Доверенный модуль платформы (TPM): TPM — это аппаратный компонент, встроенный в устройство, предоставляющее аппаратные функции безопасности для секретов пользователей и устройств. Дополнительные сведения см. в статье "Технология доверенных платформенных модулей".

Что содержит PRT?

PRT содержит утверждения, найденные в большинстве маркеров обновления идентификатора Microsoft Entra. Кроме того, существуют некоторые утверждения, относящиеся к устройству, включенные в PRT. Они приведены следующим образом:

  • Идентификатор устройства: PRT выдан пользователю на определенном устройстве. Утверждение deviceID идентификатора устройства определяет, на что устройство было выдано prT пользователю. Это утверждение позже выдано маркерам, полученным через PRT. Утверждение идентификатора устройства используется для определения авторизации условного доступа на основе состояния устройства или соответствия требованиям.
  • Ключ сеанса: ключ сеанса — это зашифрованный симметричный ключ, созданный службой проверки подлинности Microsoft Entra, выданный в рамках PRT. Ключ сеанса выступает в качестве доказательства владения, когда PRT используется для получения маркеров для других приложений. Ключ сеанса выполняется на устройствах, присоединенных к Windows 10 или более новых, присоединенных к Microsoft Entra, или гибридных устройств, присоединенных к Microsoft Entra, если оно старше 30 дней.

Можно ли увидеть, что такое PRT?

PRT — это непрозрачный большой двоичный объект, отправленный из Microsoft Entra, содержимое которого не известно ни одному клиентскому компоненту. Вы не можете видеть, что находится внутри PRT.

Как выдается PRT?

Регистрация устройства является обязательным условием для проверки подлинности на основе устройств в идентификаторе Microsoft Entra. PRT выпускается пользователям только на зарегистрированных устройствах. Дополнительные сведения о регистрации устройств см. в статье Windows Hello для бизнеса и регистрации устройств. Во время регистрации устройства компонент dsreg создает два набора пар криптографических ключей:

  • Ключ устройства (dkpub/dkpriv)
  • Транспортный ключ (tkpub/tkpriv)

Закрытые ключи привязаны к доверенному платформенного платформенного модуля устройства, если устройство имеет действительный и функционируюющий TPM, а открытые ключи отправляются в идентификатор Microsoft Entra во время регистрации устройства. Эти ключи используются для проверки состояния устройства во время запросов PRT.

PRT выдается во время проверки подлинности пользователей на устройстве Windows 10 или более поздней версии в двух сценариях:

  • Присоединение к Microsoft Entra или гибридное присоединение к Microsoft Entra: при входе пользователя с учетными данными организации выдается PRT. PRT выпускается со всеми поддерживаемыми учетными данными Windows 10 или более поздней версии, например паролем и Windows Hello для бизнеса. В этом сценарии подключаемый модуль Microsoft Entra CloudAP является основным центром для PRT.
  • Зарегистрированное устройство Microsoft Entra: PRT выдается при добавлении дополнительной рабочей учетной записи на устройство с Windows 10 или более поздней версии. Пользователи могут добавлять учетную запись в Windows 10 или более поздней версии двумя способами.
    • Добавление учетной записи с помощью запроса на управление устройством после входа в приложение (например, Outlook)
    • Добавление учетной записи из параметров>>access Work или School Connect>

В сценариях зарегистрированных устройств Microsoft Entra подключаемый модуль Microsoft Entra WAM является основным центром для PRT, так как вход Windows не происходит с этой учетной записью Microsoft Entra.

Заметка

Сторонние поставщики удостоверений должны поддерживать протокол WS-Trust, чтобы включить выдачу PRT на устройствах Windows 10 или более новых версий. Без WS-Trust prT нельзя выдавать пользователям на гибридных устройствах Microsoft Entra, присоединенных к Microsoft Entra, или устройства, присоединенные к Microsoft Entra. Для AD FS требуются только конечные точки с именами пользователей. В AD FS, если smartcard/certificate используется во время конечных точек входа certificatemixed Windows, требуются. adfs/services/trust/13/windowstransport Оба adfs/services/trust/2005/windowstransport и должны быть включены в качестве конечных точек для интрасети только и не должны предоставляться в качестве экстрасети конечных точек с конечными точками через прокси веб-приложения.

Заметка

Политики условного доступа Microsoft Entra не оцениваются при выпуске PRT.

Заметка

Мы не поддерживаем сторонних поставщиков учетных данных для выдачи и продления PRT Microsoft Entra.

Что такое время существования PRT?

После выдачи PRT действителен в течение 14 дней и постоянно обновляется до тех пор, пока пользователь активно использует устройство.

Как используется PRT?

PRT используется двумя ключевыми компонентами в Windows:

  • Подключаемый модуль Microsoft Entra CloudAP: во время входа в Windows подключаемый модуль Microsoft Entra CloudAP запрашивает PRT из идентификатора Microsoft Entra с помощью учетных данных, предоставленных пользователем. Он также кэширует PRT, чтобы включить кэшированный вход, если у пользователя нет доступа к Интернету.
  • Подключаемый модуль WAM Microsoft Entra: когда пользователи пытаются получить доступ к приложениям, подключаемый модуль Microsoft Entra WAM использует PRT для включения единого входа в Windows 10 или более поздней версии. Подключаемый модуль WAM Microsoft Entra использует PRT для запроса маркеров обновления и доступа для приложений, использующих WAM для запросов маркеров. Он также включает единый вход в браузерах путем внедрения PRT в запросы браузера. Единый вход браузера в Windows 10 или более поздней версии поддерживается в Microsoft Edge (в собственном коде), Chrome (с помощью учетных записей Windows 10 или Mozilla Firefox v91+ (параметр единого входа в Firefox Windows)

    Заметка

    В случаях, когда у пользователя есть две учетные записи из одного клиента Microsoft Entra, вошедшего в приложение браузера, проверка подлинности устройства, предоставляемая PRT основной учетной записи, автоматически применяется ко второй учетной записи. В результате вторая учетная запись также удовлетворяет любой политике условного доступа на основе устройств в клиенте.

Как обновляется PRT?

PRT обновляется двумя различными способами:

  • Подключаемый модуль Microsoft Entra CloudAP каждые 4 часа: подключаемый модуль CloudAP обновляет PRT каждые 4 часа во время входа в Windows. Если у пользователя нет подключения к Интернету в течение этого времени, подключаемый модуль CloudAP обновит PRT после подключения устройства к Интернету.
  • Подключаемый модуль Microsoft Entra WAM во время запросов маркера приложения: подключаемый модуль WAM включает единый вход на устройствах Windows 10 или более новых версий, включив автоматические запросы маркеров для приложений. Подключаемый модуль WAM может обновить PRT во время этих запросов токенов двумя способами:
    • Приложение запрашивает WAM для маркера доступа автоматически, но для этого приложения нет маркера обновления. В этом случае WAM использует PRT для запроса маркера для приложения и возврата нового PRT в ответе.
    • Приложение запрашивает WAM для маркера доступа, но prT является недопустимым или идентификатор Microsoft Entra ID требует дополнительной авторизации (например, многофакторная проверка подлинности Microsoft Entra). В этом сценарии WAM инициирует интерактивный вход, требующий от пользователя повторной проверки подлинности или предоставления дополнительной проверки подлинности, а новый PRT выдан при успешной проверке подлинности.

В среде AD FS прямая линия зрения к контроллеру домена не требуется для продления PRT. Для продления PRT требуется только /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed конечная точка, включенная на прокси-сервере с помощью протокола WS-Trust.

Для проверки подлинности паролей требуются конечные точки транспорта Windows только при изменении пароля, а не для продления PRT.

Заметка

Политики условного доступа Microsoft Entra не оцениваются при продлении PRT.

Основные рекомендации

  • В присоединении к Microsoft Entra и гибридных устройствах Microsoft Entra подключаемый модуль CloudAP является основным центром для PRT. Если prT обновляется во время запроса токена на основе WAM, PRT отправляется обратно в подключаемый модуль CloudAP, который проверяет допустимость PRT с идентификатором Microsoft Entra перед принятием.

Платформа Android:

  • PRT действителен в течение 90 дней и постоянно обновляется до тех пор, пока устройство используется. Однако это допустимо только в течение 14 дней, если устройство не используется.
  • PrT выпускается и обновляется только во время проверки подлинности собственного приложения. PRT не обновляется или не выпускается во время сеанса браузера.
  • Вы можете получить PRT без необходимости регистрации устройств (присоединение к рабочему месту) и включить единый вход.
  • PrTs, полученные без регистрации устройства, не могут соответствовать критериям авторизации условного доступа, которые зависят от состояния или соответствия устройства.

Как защищается PRT?

PrT защищен путем привязки его к устройству, вошедшего в систему. Идентификатор Microsoft Entra и Windows 10 или более поздней версии обеспечивают защиту PRT с помощью следующих методов:

  • Во время первого входа: во время первого входа prT выдается путем подписывания запросов с помощью криптографического шифрования ключа устройства, созданного во время регистрации устройства. На устройстве с допустимым и работоспособным TPM ключ устройства защищен доверенным платформенным модульом, предотвращая любой вредоносный доступ. PrT не выдается, если соответствующая подпись ключа устройства не может быть проверена.
  • Во время запросов маркера и продления: при выпуске PRT идентификатор Microsoft Entra также выдает зашифрованный ключ сеанса устройству. Он зашифрован с помощью открытого ключа транспорта (tkpub), созданного и отправленного в идентификатор Microsoft Entra в рамках регистрации устройства. Этот ключ сеанса можно расшифровать только с помощью закрытого транспортного ключа (tkpriv), защищенного TPM. Ключ сеанса — это ключ проверки владения (POP) для любых запросов, отправленных идентификатору Microsoft Entra. Ключ сеанса также защищен TPM, и к нему не может получить доступ другой компонент ОС. Запросы маркеров или запросы на продление PRT безопасно подписаны этим ключом сеанса через TPM и поэтому не могут быть изменены. Microsoft Entra запрещает любые запросы с устройства, которое не подписано соответствующим ключом сеанса.

Защищая эти ключи с помощью доверенного платформенного модуля, мы повышаем безопасность PRT от вредоносных субъектов, пытающихся украсть ключи или воспроизвести PRT. Таким образом, использование доверенного платформенного модуля значительно повышает безопасность присоединенных к Microsoft Entra, гибридного соединения Microsoft Entra и зарегистрированных устройств Microsoft Entra в отношении кражи учетных данных. Для обеспечения производительности и надежности TPM 2.0 является рекомендуемой версией для всех сценариев регистрации устройств Microsoft Entra в Windows 10 или более поздней версии. Начиная с обновления Windows 10, 1903, идентификатор Microsoft Entra ID не использует TPM 1.2 для любого из указанных выше ключей из-за проблем с надежностью.

Как защищены маркеры приложений и файлы cookie браузера?

Маркеры приложений: когда маркер приложения запрашивает через WAM, идентификатор Microsoft Entra выдает маркер обновления и маркер доступа. Однако WAM возвращает маркер доступа только приложению и защищает маркер обновления в кэше, зашифровав его с помощью ключа программирования приложения защиты данных пользователя (DPAPI). WAM безопасно использует маркер обновления путем подписывания запросов с помощью ключа сеанса для выдачи дополнительных маркеров доступа. Ключ DPAPI защищается симметричным ключом на основе идентификатора Microsoft Entra в самом Microsoft Entra. Когда устройство должно расшифровать профиль пользователя с помощью ключа DPAPI, идентификатор Microsoft Entra предоставляет ключ DPAPI, зашифрованный ключом сеанса, который подключаемый модуль CloudAP запрашивает TPM для расшифровки. Эта функция обеспечивает согласованность при защите маркеров обновления и избегает реализации приложений собственных механизмов защиты.

Файлы cookie браузера: в Windows 10 или более поздней версии Идентификатор Microsoft Entra поддерживает единый вход браузера в Internet Explorer и Microsoft Edge в собственном коде, в Google Chrome через расширение учетных записей Windows 10 и в Mozilla Firefox версии 91+ с помощью параметра браузера. Безопасность создается не только для защиты файлов cookie, но и конечных точек, в которые отправляются файлы cookie. Файлы cookie браузера защищены так же, как prT, используя ключ сеанса для подписывания и защиты файлов cookie.

Когда пользователь инициирует взаимодействие с браузером, браузер (или расширение) вызывает собственный узел клиента COM. Узел собственного клиента гарантирует, что страница находится из одного из разрешенных доменов. Браузер может отправлять другие параметры на собственный узел клиента, включая nonce, однако собственный узел клиента гарантирует проверку имени узла. Узел собственного клиента запрашивает PRT-cookie из подключаемого модуля CloudAP, который создает и подписывает его с помощью ключа сеанса, защищенного TPM. Так как PRT-cookie подписан ключом сеанса, сложно изменить его. Этот ФАЙЛ PRT-cookie включен в заголовок запроса для идентификатора Microsoft Entra для проверки устройства, из которого он происходит. При использовании браузера Chrome только расширение, явно определенное в манифесте собственного узла клиента, может вызвать его, предотвращая произвольные расширения от выполнения этих запросов. После проверки файла cookie PRT идентификатор Microsoft Entra выдает файл cookie сеанса в браузере. Этот файл cookie сеанса также содержит тот же ключ сеанса, выданный prT. Во время последующих запросов ключ сеанса проверяется эффективно привязывает файл cookie к устройству и предотвращает воспроизведение в другом месте.

Когда PRT получает утверждение MFA?

PRT может получить утверждение многофакторной проверки подлинности в определенных сценариях. Когда PRT на основе MFA используется для запроса маркеров для приложений, утверждение MFA передается этим маркерам приложения. Эта функция обеспечивает простой интерфейс для пользователей, предотвращая вызов MFA для каждого приложения, требующего его. PRT может получить утверждение MFA следующим образом:

  • Войдите с помощью Windows Hello для бизнеса: Windows Hello для бизнеса заменяет пароли и использует криптографические ключи для обеспечения строгой двухфакторной проверки подлинности. Windows Hello для бизнеса зависят от пользователя на устройстве, и для ее подготовки требуется MFA. Когда пользователь входит в систему с помощью Windows Hello для бизнеса, PRT пользователя получает утверждение MFA. Этот сценарий также относится к пользователям, выполняя вход с помощью смарт-карт, если проверка подлинности смарт-карты создает утверждение MFA из AD FS.
    • Так как Windows Hello для бизнеса считается многофакторной проверкой подлинности, утверждение MFA обновляется при обновлении prT, поэтому длительность MFA будет постоянно расширяться при входе пользователей с помощью Windows Hello для бизнеса.
  • MFA во время интерактивного входа WAM: во время запроса маркера через WAM, если пользователю требуется сделать MFA для доступа к приложению, PRT, который обновляется во время этого взаимодействия, отпечатывается с утверждением MFA.
    • В этом случае утверждение MFA не обновляется постоянно, поэтому длительность MFA зависит от времени существования, заданного в каталоге.
    • Когда для доступа к приложению используется предыдущий PRT и RT, PRT и RT считаются первым подтверждением проверки подлинности. Новый RT требуется со вторым доказательством и отпечатанным утверждением MFA. Этот процесс также выдает новый PRT и RT.

Windows 10 или более поздней версии поддерживает секционированные списки PRT для каждого учетных данных. Таким образом, для каждой Windows Hello для бизнеса, пароля или смарт-карты существует PRT. Это секционирование гарантирует изоляцию утверждений MFA на основе используемых учетных данных, а не смешанных во время запросов маркеров.

Заметка

При использовании пароля для входа в Windows 10 или более поздней версии Microsoft Entra joined или гибридного устройства Microsoft Entra MFA во время интерактивного входа WAM может потребоваться после свертки ключа сеанса, связанного с PRT.

Как недопустим PRT?

PrT недопустим в следующих сценариях:

  • Недопустимый пользователь: если пользователь удален или отключен в идентификаторе Microsoft Entra, его PRT недопустим и не может использоваться для получения маркеров для приложений. Если удаленный или отключенный пользователь уже выполнил вход на устройство до этого, кэшированный вход будет входить в систему, пока CloudAP не будет знать о недопустимом состоянии. После того как CloudAP определит, что пользователь недопустим, он блокирует последующий вход. Недопустимый пользователь автоматически блокирует вход на новые устройства, которые не кэшируют свои учетные данные.
  • Недопустимое устройство: если устройство удалено или отключено в идентификаторе Microsoft Entra, PRT, полученное на этом устройстве, является недействительным и не может использоваться для получения маркеров для других приложений. Если пользователь уже вошел на недопустимое устройство, он может продолжать это делать. Но все маркеры на устройстве недействительны, и у пользователя нет единого входа в какие-либо ресурсы с этого устройства.
  • Изменение пароля. Если пользователь получил PRT с паролем, prT недействителен идентификатором Microsoft Entra при изменении пароля. Изменение пароля приводит к получению пользователем нового PRT. Это недопустимое может произойти двумя разными способами:
    • Если пользователь входит в Систему Windows с новым паролем, CloudAP удаляет старый PRT и запрашивает идентификатор Microsoft Entra для выдачи нового prT с новым паролем. Если у пользователя нет подключения к Интернету, новый пароль не может быть проверен, Windows может потребовать, чтобы пользователь ввел свой старый пароль.
    • Если пользователь выполнил вход с помощью старого пароля или изменил пароль после входа в Windows, старый PRT используется для любых запросов маркеров на основе WAM. В этом сценарии пользователю будет предложено повторно выполнить проверку подлинности во время запроса маркера WAM и выдается новый PRT.
  • Проблемы доверенного платформенного модуля. Иногда TPM устройства может сбой или сбой, что привело к недоступности ключей, защищенных TPM. В этом случае устройство не может получить PRT или запрашивать маркеры с помощью существующего PRT, так как оно не может доказать владение криптографическими ключами. В результате любой существующий PRT недействителен идентификатором Microsoft Entra. Когда Windows 10 обнаруживает сбой, он инициирует поток восстановления для повторной регистрации устройства с помощью новых криптографических ключей. При гибридном присоединении Microsoft Entra, как и начальная регистрация, восстановление происходит автоматически без ввода пользователем. Для присоединенных к Microsoft Entra устройств или зарегистрированных устройств Microsoft Entra необходимо выполнить восстановление пользователем, у которого есть права администратора на устройстве. В этом сценарии поток восстановления инициируется запросом Windows, который направляет пользователя для успешного восстановления устройства.

Подробные потоки

На следующих схемах показаны базовые сведения о выпуске, продлении и использовании PRT для запроса маркера доступа для приложения. Кроме того, эти шаги также описывают, как применяются указанные выше механизмы безопасности во время этих взаимодействий.

Выдача PRT во время первого входа

Выдача PRT во время первого входа в подробный поток

Заметка

На устройствах, присоединенных к Microsoft Entra, выдача PRT (шаги A-F) выполняется синхронно, прежде чем пользователь сможет войти в Windows. На гибридных устройствах, присоединенных к Microsoft Entra, локальная служба Active Directory является основным центром. Таким образом, пользователь может войти в систему Microsoft Entra hybrid joined Windows после получения TGT для входа, в то время как выдача PRT происходит асинхронно. Этот сценарий не применяется к зарегистрированным устройствам Microsoft Entra, так как вход не использует учетные данные Microsoft Entra.

Заметка

В гибридной среде Windows, присоединенной к Microsoft Entra, выдача PRT происходит асинхронно. Выдача PRT может завершиться ошибкой из-за проблем с поставщиком федерации. Эта ошибка может привести к проблемам входа при попытке пользователей получить доступ к облачным ресурсам. Важно устранить эту проблему с поставщиком федерации.

Шаг Описание
A Пользователь вводит пароль в пользовательском интерфейсе входа. Входной UI передает учетные данные в буфер проверки подлинности в LSA, который, как представляется, передает его внутренне в CloudAP. CloudAP перенаправит этот запрос в подключаемый модуль CloudAP.
B Подключаемый модуль CloudAP инициирует запрос на обнаружение области для идентификации поставщика удостоверений для пользователя. Если клиент пользователя настроен поставщик федерации, идентификатор Microsoft Entra возвращает конечную точку Exchange метаданных поставщика метаданных поставщика федерации (MEX). Если нет, идентификатор Microsoft Entra возвращает, что пользователь управляется, указывая, что пользователь может пройти проверку подлинности с помощью идентификатора Microsoft Entra.
C Если пользователь управляется, CloudAP получает неисключаемую из идентификатора Microsoft Entra ID. Если пользователь федеративный, подключаемый модуль CloudAP запрашивает маркер языка разметки утверждения безопасности (SAML) от поставщика федерации с учетными данными пользователя. Nonce запрашивается перед отправкой маркера SAML в идентификатор Microsoft Entra.
D Подключаемый модуль CloudAP создает запрос проверки подлинности с учетными данными пользователя, nonce и областью брокера, подписывает запрос с помощью ключа устройства (dkpriv) и отправляет его в идентификатор Microsoft Entra. В федеративной среде подключаемый модуль CloudAP использует токен SAML, возвращаемый поставщиком федерации, а не учетными данными пользователя.
E Идентификатор Microsoft Entra проверяет учетные данные пользователя, nonce и подпись устройства, проверяет, является ли устройство допустимым в клиенте и выдает зашифрованный PRT. Наряду с PRT идентификатор Microsoft Entra также выдает симметричный ключ, называемый ключ сеанса, зашифрованный идентификатором Microsoft Entra с помощью ключа транспорта (tkpub). Кроме того, ключ сеанса также внедрен в PRT. Этот ключ сеанса выступает в качестве ключа подтверждения владения (PoP) для последующих запросов с PRT.
F Подключаемый модуль CloudAP передает зашифрованный ключ PRT и сеанса в CloudAP. CloudAP запросит TPM расшифровать ключ сеанса с помощью ключа транспорта (tkpriv) и повторно зашифровать его с помощью собственного ключа доверенного платформенного модуля. CloudAP хранит зашифрованный ключ сеанса в кэше вместе с PRT.

Продление PRT в последующих входах

Продление PRT в последующих входах

Шаг Описание
A Пользователь вводит пароль в пользовательском интерфейсе входа. Входной UI передает учетные данные в буфер проверки подлинности в LSA, который, как представляется, передает его внутренне в CloudAP. CloudAP перенаправит этот запрос в подключаемый модуль CloudAP.
B Если пользователь ранее вошел в сеанс, Windows инициирует кэшированный вход и проверяет учетные данные для входа пользователя. Каждые 4 часа подключаемый модуль CloudAP инициирует обновление PRT асинхронно.
C Подключаемый модуль CloudAP инициирует запрос на обнаружение области для идентификации поставщика удостоверений для пользователя. Если клиент пользователя имеет настройку поставщика федерации, идентификатор Microsoft Entra возвращает конечную точку Exchange метаданных поставщика метаданных поставщика федерации (MEX). Если нет, идентификатор Microsoft Entra возвращает, что пользователь управляется, указывая, что пользователь может пройти проверку подлинности с помощью идентификатора Microsoft Entra.
D Если пользователь федеративный, подключаемый модуль CloudAP запрашивает токен SAML от поставщика федерации с учетными данными пользователя. Nonce запрашивается перед отправкой маркера SAML в идентификатор Microsoft Entra. Если пользователь управляется, CloudAP будет напрямую получать неисключаемую из идентификатора Microsoft Entra.
E Подключаемый модуль CloudAP создает запрос проверки подлинности с учетными данными пользователя, nonce и существующим PRT, подписывает запрос с помощью ключа сеанса и отправляет его в идентификатор Microsoft Entra. В федеративной среде подключаемый модуль CloudAP использует токен SAML, возвращаемый поставщиком федерации, а не учетными данными пользователя.
F Идентификатор Microsoft Entra проверяет подпись ключа сеанса, сравнивая его с ключом сеанса, внедренным в PRT, проверяет несоответствие и проверяет, является ли устройство действительным в клиенте и выдает новый PRT. Как показано ранее, PRT снова сопровождается ключом сеанса, зашифрованным ключом транспорта (tkpub).
G Подключаемый модуль CloudAP передает зашифрованный ключ PRT и сеанса в CloudAP. CloudAP запрашивает TPM расшифровать ключ сеанса с помощью ключа транспорта (tkpriv) и повторно зашифровать его с помощью собственного ключа доверенного платформенного модуля. CloudAP хранит зашифрованный ключ сеанса в кэше вместе с PRT.

Заметка

PRT можно обновить вневне, не требуя VPN-подключения, когда конечные точки с именами пользователей включены во внешних случаях.

Использование PRT во время запросов маркера приложения

Использование PRT во время запросов маркера приложения

Шаг Описание
A Приложение (например, Outlook, OneNote и т. д.) инициирует запрос токена в WAM. WAM, в свою очередь, запрашивает подключаемый модуль WAM Microsoft Entra для обслуживания запроса маркера.
B Если маркер обновления для приложения уже доступен, подключаемый модуль Microsoft Entra WAM использует его для запроса маркера доступа. Чтобы предоставить подтверждение привязки устройства, подключаемый модуль WAM подписывает запрос с помощью ключа сеанса. Идентификатор Microsoft Entra проверяет ключ сеанса и выдает маркер доступа и новый маркер обновления для приложения, зашифрованный ключом сеанса. Подключаемый модуль WAM запрашивает подключаемый модуль CloudAP для расшифровки маркеров, которые, в свою очередь, запрашивают TPM расшифровку с помощью ключа сеанса, что приводит к получению обоих маркеров подключаемым модулем WAM. Затем подключаемый модуль WAM предоставляет только маркер доступа к приложению, в то время как он повторно расшифровывает маркер обновления с помощью DPAPI и сохраняет его в собственном кэше.
C Если маркер обновления для приложения недоступен, подключаемый модуль Microsoft Entra WAM использует PRT для запроса маркера доступа. Чтобы предоставить подтверждение владения, подключаемый модуль WAM подписывает запрос, содержащий PRT с ключом сеанса. Идентификатор Microsoft Entra проверяет подпись ключа сеанса, сравнивая его с ключом сеанса, внедренным в PRT, проверяет, является ли устройство допустимым и выдает маркер доступа и маркер обновления для приложения. Кроме того, идентификатор Microsoft Entra может выдавать новый PRT (на основе цикла обновления), все из них зашифрованы ключом сеанса.
D Подключаемый модуль WAM запрашивает подключаемый модуль CloudAP для расшифровки маркеров, которые, в свою очередь, запрашивают TPM расшифровку с помощью ключа сеанса, что приводит к получению обоих маркеров подключаемым модулем WAM. Затем подключаемый модуль WAM предоставляет только маркер доступа к приложению, а он повторно расшифровывает маркер обновления с помощью DPAPI и сохраняет его в собственном кэше. Подключаемый модуль WAM использует маркер обновления для этого приложения. Подключаемый модуль WAM также возвращает новый подключаемый модуль PRT в CloudAP, который проверяет PRT с идентификатором Microsoft Entra, прежде чем обновлять его в собственном кэше. Подключаемый модуль CloudAP использует новый PRT.
E WAM предоставляет недавно выданный маркер доступа для WAM, который, в свою очередь, предоставляет его обратно вызывающему приложению.

Единый вход в браузере с помощью PRT

Единый вход в браузере с помощью PRT

Шаг Описание
A Пользователи войдите в Windows с учетными данными, чтобы получить PRT. После открытия браузера браузер (или расширение) загружает URL-адреса из реестра.
B Когда пользователь открывает URL-адрес для входа Microsoft Entra, браузер или расширение проверяет URL-адрес с теми, которые были получены из реестра. Если они совпадают, браузер вызывает собственный узел клиента для получения маркера.
C Узел собственного клиента проверяет, принадлежат ли URL-адреса поставщикам удостоверений Майкрософт (учетной записи Майкрософт или идентификатору Microsoft Entra), извлекает неисправную отправку из URL-адреса и вызывает подключаемый модуль CloudAP для получения файла cookie PRT.
D Подключаемый модуль CloudAP создает файл cookie PRT, войдите с помощью ключа сеанса, привязанного к TPM, и отправьте его обратно на собственный узел клиента.
E Узел собственного клиента возвращает этот файл cookie PRT в браузер, который включает его в заголовок запроса x-ms-RefreshTokenCredential и маркеры запроса из идентификатора Microsoft Entra.
F Идентификатор Microsoft Entra проверяет подпись ключа сеанса в файле cookie PRT, проверяет нецелесовую проверку, проверяет, является ли устройство допустимым в клиенте, и выдает маркер идентификатора для веб-страницы и зашифрованный файл cookie сеанса для браузера.

Заметка

Поток единого входа браузера, описанный в предыдущих шагах, не применяется для сеансов в частных режимах, таких как InPrivate в Microsoft Edge, Incognito в Google Chrome (при использовании расширения учетных записей Майкрософт) или в частном режиме в Mozilla Firefox v91+

Дальнейшие действия

Дополнительные сведения об устранении неполадок, связанных с PRT, см. в статье по устранению неполадок, связанных с гибридным присоединением Microsoft Entra к Windows 10 или более новым устройствам и устройствам Windows Server 2016.