Présentation du jeton d’actualisation principal (PRT)

Si l’appareil dispose d’un stockage matériel sécurisé/TPM valide et opérationnel, les clés privées sont liées au stockage sécurisé de l’appareil sur les plateformes prises en charge. Les clés publiques sont envoyées à l’ID Microsoft Entra pendant le processus d’inscription de l’appareil afin de valider l’état de l’appareil pendant les demandes PRT.

Le jeton PRT est émis pendant l’authentification de l’utilisateur sur un appareil Windows 10 ou plus récent dans deux scénarios :

• Joint à Microsoft Entra ou joint à Microsoft Entra hybride : un PRT est émis lors de la connexion Windows lorsqu’un utilisateur se connecte avec ses informations d’identification d’organisation. Un jeton PRT est émis avec toutes les informations d’identification prises en charge par Windows 10 ou plus récent, par exemple, un mot de passe et Windows Hello Entreprise. Dans ce scénario, le plug-in Microsoft Entra CloudAP est l’autorité principale du PRT
• Appareil inscrit Microsoft Entra : un PRT est émis lorsqu’un utilisateur ajoute un compte professionnel secondaire à son appareil Windows 10 ou ultérieur. Les utilisateurs peuvent ajouter un compte à Windows 10 ou version ultérieure de deux façons différentes :
  • Ajout d’un compte via l’invite Autoriser mon organisation à gérer mes appareils après la connexion à une application (par exemple Outlook)
  • Ajout d’un compte depuis Paramètres>Comptes>Accès Professionnel ou Scolaire>Se connecter

Dans les scénarios d’appareils inscrits par Microsoft Entra, le plug-in Microsoft Entra WAM est l’autorité principale pour le PRT, car la connexion Windows n’est pas en cours avec ce compte Microsoft Entra.

macOS avec le SSO de plateforme

MacOS Platform Single Sign-on (PSSO) est une nouvelle fonctionnalité alimentée par le plug-in Enterprise SSO Plug-in, Platform Credentials for macOS qui permet aux utilisateurs de se connecter à des appareils Mac à l’aide de leurs informations d’identification d’ID Microsoft Entra.

Le jeton d’actualisation principal PSSO (PRT) est émis exclusivement aux appareils macOS joints à Entra qui ont correctement effectué l’inscription de l’authentification unique de plateforme. Pendant ce processus d’inscription, macOS génère des paires de clés de chiffrement sécurisées sauvegardées par enclave : une pour la signature d’appareil et une autre pour le chiffrement d’appareil. Les références de clé publique sont partagées avec l’extension SSO.

L’extension SSO utilise ces clés pour terminer l’inscription de l’appareil auprès du service Microsoft Entra ID Device Registration Service. Il configure ensuite l’API loginConfiguration d’Apple avec les paramètres nécessaires pour l’acquisition PRT.

macOS sans authentification unique de plateforme

macOS prend en charge les PRT non inscrits pour Microsoft Edge et les PRT inscrits lorsque l’appareil est joint au lieu de travail et que le répartiteur est présent

Une fois l’inscription terminée, macOS lance une demande de connexion signée avec la clé de signature de l’appareil. Microsoft Entra ID valide la demande, la clé de signature d’appareil et les paramètres associés, et émet la réponse PRT.

iOS, macOS et Android prennent en charge les PRT non inscrits pour Microsoft Edge et les PRT inscrits lorsque le répartiteur est présent.

Linux prend en charge les PRT non inscrits pour Microsoft Edge et les PRT inscrits lorsque le répartiteur est présent.

Windows - extrait le PRT du courtier vers le navigateur sur les navigateurs suivants :

• Microsoft Edge

• Firefox

• Chrome

Android - Microsoft Edge extrait le PRT du répartiteur dans le navigateur

Sur iOS et macOS, les navigateurs peuvent également obtenir le PRT lorsque le profil d’extension SSO est installé, en activant :

• Prise en charge de Chrome et Firefox sur macOS
• Prise en charge de Safari sur iOS et macOS
• Microsoft Edge sur iOS et macOS

Linux - Microsoft Edge extraira le PRT du courtier dans le navigateur

Un PRT est utilisé par deux composants clés dans Windows :

• Plug-in Microsoft Entra CloudAP : pendant la connexion à Windows, le plug-in Microsoft Entra CloudAP fait une demande de PRT depuis Microsoft Entra ID en utilisant les informations d’identification fournies par l’utilisateur. Il met également en cache le PRT pour permettre la connexion avec des informations mises en cache lorsque l’utilisateur n’a pas accès à une connexion internet.
• Plug-in WAM Microsoft Entra : quand les utilisateurs tentent d’accéder aux applications, le plug-in WAM Microsoft Entra utilise le jeton PRT pour activer SSO sur Windows 10 ou plus récent. Le plug-in Microsoft Entra WAM utilise le PRT pour demander des jetons d’actualisation et d’accès pour les applications qui s’appuient sur WAM pour les demandes de jeton. Il active également l’authentification unique sur les navigateurs en injectant le PRT dans les demandes de navigateur. L’authentification unique du navigateur dans Windows 10 ou version ultérieure est prise en charge sur Microsoft Edge (en mode natif), Chrome (via l’extension Comptes Windows 10 ) et Mozilla Firefox v91+ (paramètre Firefox Windows SSO).

  Note

  Dans les cas où un utilisateur a deux comptes du même locataire Microsoft Entra connectés à une application de navigateur, l’authentification de l’appareil fournie par le PRT du compte principal est automatiquement appliquée au deuxième compte. Par conséquent, le deuxième compte répond également à toutes les stratégies d’accès conditionnel basées sur les appareils dans le locataire.

Un PRT est utilisé par l’extension sSO pour fournir l’authentification unique aux applications et aux sites web. Un PRT est utilisé pour demander des jetons d’actualisation et d’accès pour les applications qui s’appuient sur l’extension d’authentification unique pour les demandes de jetons. Il active également l’authentification unique sur les navigateurs en injectant le PRT dans les demandes de navigateur.

Les navigateurs qui prennent en charge l’authentification unique du navigateur sont Safari, Firefox, Chrome et Microsoft Edge.

Pour iOS, seuls Microsoft Edge et Safari sont pris en charge pour l’authentification unique du navigateur.

Pour Android, seul Microsoft Edge est pris en charge pour l’authentification unique navigateur.

Les seules applications natives intégrées aujourd’hui sont Intune et Microsoft Edge Browser. Pour la prise en charge du navigateur, seul Microsoft Edge Browser est protégé pour les jetons liés à l’appareil et l’application de l’accès conditionnel.

Plateforme Windows

Un PRT est renouvelé de deux façons différentes :

• Plug-in Microsoft Entra CloudAP toutes les 4 heures : le plug-in CloudAP renouvelle le PRT toutes les 4 heures pendant la connexion Windows. Si l’utilisateur n’a pas de connexion Internet pendant ce temps, le plug-in CloudAP renouvellera le PRT une fois que l’appareil se sera connecté à Internet, et une nouvelle connexion Windows est établie.
• Plug-in WAM Microsoft Entra pendant les demandes de jeton d’application : le plug-in WAM active SSO sur les appareils Windows 10 ou plus récent en autorisant les demandes de jeton silencieuses pour les applications. Le plug-in WAM peut renouveler le PRT pendant ces demandes de jeton de deux manières différentes :
  • Une application demande au plug-in WAM un jeton d’accès silencieusement, mais aucun jeton d’actualisation n’est disponible pour cette application. Dans ce cas, WAM utilise le PRT pour demander un jeton pour l’application et récupère un nouveau PRT dans la réponse.
  • Une application demande un jeton d’accès au plug-in WAM, mais le PRT n’est pas valide ou Microsoft Entra ID requiert une autorisation supplémentaire (par exemple Microsoft Entra Multifactor Authentication). Dans ce scénario, WAM lance une connexion interactive demandant à l’utilisateur de se réauthentifier ou de fournir une vérification supplémentaire et un nouveau PRT est émis lors de l’authentification réussie.

Dans un environnement ADFS, la ligne de vue directe vers le contrôleur de domaine n’est pas nécessaire pour renouveler le PRT. Le renouvellement du PRT nécessite uniquement l’activation des points de terminaison /adfs/services/trust/2005/usernamemixed et /adfs/services/trust/13/usernamemixed sur le proxy à l’aide du protocole WS-Trust.

Des points de terminaison de transport Windows sont requis pour l’authentification par mot de passe uniquement si un mot de passe est modifié, pas pour le renouvellement de PRT.

Considérations importantes

• Sur les appareils joints à Microsoft Entra et Microsoft Entra hybride, le plug-in CloudAP est l’autorité principale pour un PRT. Si un PRT est renouvelé pendant une demande de jeton WAM, il est renvoyé au plug-in CloudAP, qui vérifie sa validité avec Microsoft Entra ID avant de l’accepter.

macOS renouvelle le jeton d’actualisation principal PSSO toutes les 4 heures, ou plus tôt si les jetons d’authentification unique sont manquants ou ont expiré.

Sur iOS, il existe également une mise à jour opportuniste lorsque l’appareil charge, se produisant pas plus souvent qu’une fois tous les deux jours, sous réserve de l’allocation de ressources par le système d’exploitation iOS. De la même façon que d’autres plateformes, un PRT est valide pendant 90 jours en cas d’utilisation.

Un PRT est valide pendant 90 jours et est renouvelé toutes les 4 heures si l’utilisateur utilise activement l’appareil.

• Un PRT est valide pendant 90 jours et est renouvelé en permanence tant que l’utilisateur utilise activement l’appareil.
• Un PRT est uniquement émis et renouvelé pendant les authentifications d’applications natives. Un PRT n’est pas renouvelé ou émis pendant une session de navigateur.
• Il est possible d’obtenir un PRT sans avoir besoin d’une inscription d’appareil (Jonction d’espace de travail) et d’activer l’authentification unique.
• Les PRT obtenus sans inscription d’appareil ne peuvent pas répondre aux critères d’autorisation de l’accès conditionnel, qui repose sur l’état ou la conformité de l’appareil.

Un PRT est protégé en le liant à l’appareil auquel l’utilisateur s’est connecté, où il utilisera la liaison matérielle lorsqu’il est disponible et pris en charge.

Microsoft Entra ID et Windows 10 ou plus récent activent la protection des jetons PRT avec les méthodes suivantes :

• À la première connexion : à la première connexion, un PRT est émis via signature de demande en utilisant la clé d’appareil générée de manière chiffrée au moment de l’inscription de l’appareil. Sur un appareil avec TPM valide et fonctionnel, la clé d’appareil est sécurisée par le TPM, empêchant tout accès malveillant. Aucun PRT n’est émis si la signature de clé d’appareil correspondante ne peut pas être validée.
• Au cours des demandes et des renouvellements de jeton : lorsqu’un PRT est émis, Microsoft Entra ID émet également une clé de session chiffrée sur l’appareil. Elle est chiffrée à l’aide de la clé de transport publique (tkpub) générée et envoyée à Microsoft Entra ID dans le cadre de l’inscription de l’appareil. Cette clé de session peut uniquement être déchiffrée par la clé de transport privée (tkpriv) sécurisée par le TPM. La clé de session est la clé de preuve de possession (POP) pour toutes les demandes envoyées à Microsoft Entra ID. La clé de session est également protégée par le TPM et aucun autre composant du système d’exploitation ne peut y accéder. Les demandes de jeton ou les demandes de renouvellement de PRT sont signées en toute sécurité par cette clé de session via le TPM. Par conséquent, elles ne peuvent pas être altérées. Microsoft Entra invalide toutes les demandes de l’appareil non signées par la clé de session correspondante.

En sécurisant ces clés avec le module TPM, nous améliorons la sécurité du PRT en empêchant les personnes malveillantes de tenter de dérober les clés ou de relire le PRT. Ainsi, l’utilisation d’un TPM renforce considérablement la sécurité des appareils joints à Microsoft Entra, à Microsoft Entra Hybride et inscrits dans Microsoft Entra et les protège contre le vol d’informations d’identification. Pour augmenter les performances et la fiabilité, nous recommandons TPM 2.0 dans tous les scénarios d’inscription d’appareil Microsoft Entra sur Windows 10 ou plus récent. Après la mise à jour de Windows 10, 1903, l’ID Microsoft Entra n’utilise pas TPM 1.2 pour l’une des clés ci-dessus en raison de problèmes de fiabilité.

Un jeton d’actualisation principal (PRT) est lié en toute sécurité à l’appareil sur lequel l’utilisateur se connecte. Microsoft Entra ID et macOS appliquent cette protection via plusieurs mécanismes :

Le PRT est émis uniquement une fois qu’une demande est signée à l’aide d’une clé de signature d’appareil sécurisée sauvegardée par enclave, qui est générée par chiffrement lors de l’inscription de l’appareil. Si la signature de cette clé ne peut pas être validée, le PRT n’est pas émis.

Pour macOS où l’authentification unique Platform est utilisée, il utilise la liaison matérielle par défaut.

Pour activer la liaison matérielle sur iOS et Mac, suivez les instructions du plug-in Apple SSO

Android, iOS et Linux ne prennent pas en charge la liaison matérielle pour les PRT.

Pour activer la liaison matérielle sur iOS et Mac, suivez les instructions du plug-in Apple SSO

• Lorsqu’une application demande un jeton via WAM, Microsoft Entra ID émet un jeton d’accès et, dans certains types de demandes, un jeton d’actualisation. Toutefois, WAM retourne uniquement le jeton d’accès à l’application et sécurise le jeton d’actualisation :
  • S’il s’agit d’un jeton d’actualisation pour un utilisateur SSO, ce jeton d’actualisation est lié à l’appareil, avec une clé de session (identique à PRT) ou la clé d’appareil.
  • S’il s’agit d’un jeton d’actualisation pour un utilisateur non-SSO, ce jeton d’actualisation n’est pas lié à l’appareil.
• Tous les jetons d’actualisation sont chiffrés par dpAPI.

• IOS non managé : sur les appareils sans profil d’extension MDM SSO, le répartiteur retourne à la fois le jeton d’accès et le jeton d’actualisation à l’application appelante. L’application appelante utilise le jeton d’actualisation pour les actualisations suivantes et ce jeton d’actualisation ne sera pas protégé.
• macOS/iOS géré : sur les appareils avec le profil d’extension MDM SSO, le répartiteur retourne uniquement le jeton d’accès à l’application appelante. Broker utilise PRT pour toute actualisation de jeton ultérieure et n’utilise pas de jeton d’actualisation non protégé. Nous recommandons aux clients d’utiliser cette configuration sur celle non managée en raison de la protection supplémentaire qu’il fournit.

• Broker retourne uniquement le jeton d’accès à l’application appelante et stocke le jeton d’actualisation de l’application localement pour les appareils gérés et non gérés.

• Sur Linux, le répartiteur retourne uniquement le jeton d’accès à l’application appelante et stocke les jetons d’actualisation localement pour les appareils gérés et non managés.
• Les jetons d’actualisation stockés localement sont chiffrés avec une clé de chiffrement stockée dans le troussement de connexion de l’utilisateur UNIX.

• Dans Windows 10 ou version ultérieure, Microsoft Entra ID prend en charge l’authentification unique de navigateur dans Microsoft Edge en mode natif, dans Google Chrome via une prise en charge native ou une extension et dans Mozilla Firefox v91+ via un paramètre de navigateur.

• Lorsqu’un utilisateur lance une interaction de navigateur, le navigateur (ou l’extension) appelle une API de plateforme. L’extension appelle cette API via un hôte de messagerie natif. L’API garantit que la page provient de l’un des domaines autorisés. Le navigateur envoie une chaîne de requête complète, qui inclut un nonce. L’API de plateforme crée un en-tête PRT et un en-tête d’appareil, qui sont signés avec les clés protégées par TPM. L’en-tête PRT est signé par la clé de session, l’en-tête de l’appareil par clé d’appareil, il est donc difficile de falsifier. Ces en-têtes sont inclus dans toutes les demandes d’ID Microsoft Entra pour valider l’appareil provenant et l’utilisateur. Une fois que Microsoft Entra ID valide ces en-têtes, il émet un cookie de session dans le navigateur. Ce cookie de session contient également la même session ou clé d’appareil utilisée pour signer la demande. Lors des demandes suivantes, la clé de session est validée, ce qui lie le cookie à l’appareil et empêche les relectures à partir d’un autre emplacement.

Safari et Microsoft Edge avec le profil d’extension SSO auront des cookies protégés par la clé de session PRT. Microsoft Edge exige que l’utilisateur soit connecté au profil Microsoft Edge. Les cookies ne sont pas protégés sans le profil d’extension SSO.

Pendant les connexions interactives, le cookie d’authentification unique du navigateur est généré (à l’aide de la clé PRT et de la clé de session qui se trouve dans le stockage géré par un compte Android). Applicable uniquement au navigateur Microsoft Edge et à l’utilisateur doivent être connectés.

Microsoft Edge sur Linux peut demander au répartiteur d’un cookie d’authentification unique de navigateur pour activer l’authentification unique dans Microsoft Edge. Le répartiteur génère le cookie d’authentification unique à l’aide de PRT et de clé de session stockés dans le contexte du répartiteur d’utilisateur et d’appareil respectivement pour renvoyer le cookie généré à Microsoft Edge. Microsoft Edge exige que l’utilisateur soit connecté au profil. Théoriquement, les applications autres que Microsoft Edge peuvent également demander ce cookie auprès de Broker, car il n’existe aucune identité d’application sur la plateforme Linux. La limite de sécurité du système d’exploitation est autour de l’utilisateur UNIX et seules les applications du même contexte utilisateur peuvent acquérir le cookie d’authentification unique pour un utilisateur dans ce contexte.

• Connexion avec Windows Hello Entreprise : Windows Hello Entreprise remplace les mots de passe et utilise des clés de chiffrement pour fournir une authentification à deux facteurs forte. Windows Hello Entreprise est propre à l’utilisateur de l’appareil, et lui-même exige une authentification multifacteur pour l’approvisionnement. Quand un utilisateur se connecte avec Windows Hello Entreprise, son PRT reçoit une revendication MFA. Ce scénario s’applique également aux utilisateurs qui se connectent avec des cartes à puce si l’authentification par carte à puce produit une revendication MFA à partir d’ADFS.
  • Comme Windows Hello Entreprise est considéré comme une authentification multifacteur, la revendication MFA est mise à jour lorsque le PRT lui-même est actualisé. Par conséquent, la durée de l’authentification multifacteur s’allonge continuellement lorsque les utilisateurs se connectent avec Windows Hello Entreprise.
• Authentification multifacteur pendant la connexion interactive WAM : pendant une demande de jeton via WAM, si un utilisateur doit avoir recours à l’authentification multifacteur pour accéder à l’application, le PRT renouvelé pendant cette interaction contient une revendication MFA.
  • Dans ce cas, la revendication MFA n’est pas actualisée en continu. Par conséquent, la durée de validité de l’authentification multifacteur est basée sur la durée de vie définie sur le répertoire.
  • Lorsqu’un PRT et un RT existants sont utilisés pour accéder à une application, le PRT et le RT sont considérés comme la première preuve d’authentification. Un nouveau RT est requis avec une deuxième preuve et une revendication MFA imprimée. Ce processus crée également un nouveau PRT et un nouveau RT.
• Windows 10 ou plus récent gère une liste partitionnée de jetons PRT pour chaque jeu d’informations d’identification. Par conséquent, il existe un PRT pour chacune : Windows Hello Entreprise, mot de passe ou carte à puce. Ce partitionnement garantit que les revendications MFA sont isolées selon les informations d’identification utilisées et qu’elles ne sont pas mélangées pendant les demandes de jeton.

Si les stratégies d’autorité de certification ont été définies par l’administrateur, l’utilisateur doit effectuer l’authentification multifacteur. Dans ces cas, le PRT serait mis à niveau et obtiendra une revendication MFA. La durée de revendication est basée sur la durée de vie définie sur le répertoire.