Zrozumienie podstawowego tokenu odświeżania (PRT)

Jeśli urządzenie ma prawidłowy i działający moduł TPM/bezpieczny magazyn sprzętowy, klucze prywatne są powiązane z bezpiecznym magazynem urządzenia na obsługiwanych platformach. Klucze publiczne są wysyłane do Microsoft Entra ID podczas procesu rejestracji urządzenia, aby zweryfikować stan urządzenia podczas żądań PRT.

PRT jest wydawany podczas uwierzytelniania tożsamości użytkownika na urządzeniu z systemem Windows 10 lub nowszym w dwóch scenariuszach:

• Dołączenie do Microsoft Entra lub Hybrydowe dołączenie do Microsoft Entra: PRT jest wydawany podczas logowania do systemu Windows, gdy użytkownik loguje się przy użyciu poświadczeń organizacji. Token PRT jest wydawany wraz ze wszystkimi obsługiwanymi poświadczeniami systemu Windows 10 lub nowszymi, na przykład hasłem i Windows Hello dla Firm. W tym scenariuszu wtyczka Microsoft Entra CloudAP jest głównym autorytetem PRT
• Zarejestrowane urządzenie Microsoft Entra: PRT jest wydawane, gdy użytkownik dodaje dodatkowe konto służbowe do swojego urządzenia z systemem Windows 10 lub nowszym. Użytkownicy mogą dodać konto do systemu Windows 10 lub nowszego na dwa różne sposoby:
  • Dodawanie konta za pośrednictwem monitu Zezwalaj mojej organizacji na zarządzanie moim urządzeniem po zalogowaniu się do aplikacji (na przykład Outlook)
  • Dodawanie konta z Ustawienia>Konta>Dostęp do pracy lub szkoły>Połącz

W scenariuszach zarejestrowanych urządzeń Microsoft Entra, wtyczka Microsoft Entra WAM jest głównym autorytetem dla PRT, ponieważ logowanie do systemu Windows nie odbywa się za pomocą tego konta Microsoft Entra.

system macOS z platformowym SSO

Platforma Logowanie jednokrotne (PSSO) macOS to nowa funkcja wspierana przez wtyczkę Enterprise SSO firmy Microsoft, Poświadczenia Platformy dla macOS, która umożliwia użytkownikom logowanie się na urządzeniach Mac przy użyciu poświadczeń Microsoft Entra ID.

Podstawowy token odświeżania PSSO (PRT) jest wystawiany wyłącznie urządzeniom dołączonym do systemu macOS w ramach Entra, które pomyślnie zakończyły rejestrację Platform SSO. Podczas tego procesu rejestracji system macOS generuje bezpieczne pary kluczy kryptograficznych opartych na enklawie: jedną dla podpisywania urządzenia, a drugą na potrzeby szyfrowania urządzeń. Odwołania do klucza publicznego są współużytkowane z rozszerzeniem logowania jednokrotnego.

Rozszerzenie SSO używa tych kluczy do ukończenia rejestracji urządzenia w Microsoft Entra ID Device Registration Service. Następnie konfiguruje interfejs API loginConfiguration firmy Apple z wymaganymi parametrami na potrzeby pozyskiwania PRT.

macOS bez Platform SSO

System macOS obsługuje niezarejestrowane PRT dla przeglądarki Microsoft Edge i zarejestrowane PRT, gdy urządzenie jest dołączone do sieci korporacyjnej, a broker oprogramowania jest obecny.

Po pomyślnym zakończeniu rejestracji system macOS inicjuje żądanie logowania podpisane przy użyciu klucza podpisywania urządzenia. Microsoft Entra ID weryfikuje żądanie, klucz podpisywania urządzenia i skojarzone parametry, a następnie wydaje odpowiedź PRT.

Systemy iOS, macOS i Android obsługują zarówno niezarejestrowane PRT dla Microsoft Edge, jak i zarejestrowane PRT, gdy broker jest obecny.

System Linux obsługuje zarówno niezarejestrowane PRT dla przeglądarki Microsoft Edge, jak i zarejestrowane PRT, gdy broker jest obecny.

Windows — pobierze PRT z brokera do przeglądarki w następujących przeglądarkach:

• Microsoft Edge

• Firefox

• Chrom

Android — przeglądarka Microsoft Edge pobierze PRT z brokera do przeglądarki

W systemach iOS i macOS przeglądarki mogą również uzyskać PRT po zainstalowaniu profilu rozszerzenia logowania jednokrotnego, umożliwiając:

• Obsługa przeglądarek Chrome i Firefox w systemie macOS
• Obsługa przeglądarki Safari w systemach iOS i macOS
• Przeglądarka Microsoft Edge w systemach iOS i macOS

Linux — przeglądarka Microsoft Edge pobierze PRT z brokera do przeglądarki.

PrT jest używany przez dwa kluczowe składniki w systemie Windows:

• Wtyczka Microsoft Entra CloudAP: Podczas logowania systemu Windows wtyczka Microsoft Entra CloudAP żąda PRT od Microsoft Entra ID przy użyciu poświadczeń dostarczonych przez użytkownika. Buforuje również PRT, aby umożliwić logowanie bez dostępu do internetu, gdy użytkownik nie ma połączenia z siecią.
• Wtyczka Microsoft Entra WAM: Wtyczka Microsoft Entra WAM używa PRT do włączenia logowania jednokrotnego (SSO) w systemie Windows 10 lub nowszym, gdy użytkownicy próbują uzyskać dostęp do aplikacji. Wtyczka Microsoft Entra WAM używa PRT do żądania tokenów odświeżania i dostępu dla aplikacji korzystających z WAM. Umożliwia również SSO w przeglądarkach przez umieszczenie PRT w żądaniach przeglądarki. Logowanie jednokrotne przeglądarki w systemie Windows 10 lub nowszym jest obsługiwane w przeglądarce Microsoft Edge (natywnie), Chrome (za pośrednictwem rozszerzenia Konta systemu Windows 10 ) i Mozilla Firefox v91+ ( ustawienia logowania jednokrotnego systemu Windows w systemie Firefox).

  Uwaga

  W przypadkach, gdy użytkownik ma dwa konta z tej samej dzierżawy Microsoft Entra zalogowane do aplikacji przeglądarkowej, uwierzytelnianie urządzenia zapewnione przez PRT konta podstawowego jest automatycznie stosowane również do drugiego konta. W rezultacie także drugie konto spełnia wszystkie zasady warunkowego dostępu oparte na urządzeniach w dzierżawie.

PRT jest używany przez rozszerzenie SSO w celu zapewnienia logowania jednokrotnego do aplikacji i witryn internetowych. PRT służy do żądania tokenów odświeżania i dostępu dla aplikacji, które korzystają z rozszerzenia SSO do żądań tokenów. Umożliwia również SSO w przeglądarkach przez umieszczenie PRT w żądaniach przeglądarki.

Przeglądarki obsługujące logowanie jednokrotne to Safari, Firefox, Chrome i Microsoft Edge.

Tylko przeglądarki Microsoft Edge i Safari są obsługiwane dla logowania jednokrotnego za pomocą przeglądarki na iOS.

W przypadku systemu Android tylko przeglądarka Microsoft Edge jest obsługiwana w przypadku logowania jednokrotnego w przeglądarce.

Obecnie jedynymi zintegrowanymi aplikacjami natywnymi są usługi Intune i Przeglądarka Microsoft Edge. W przypadku wsparcia przeglądarki, tylko przeglądarka Microsoft Edge jest chroniona dla tokenów związanych z urządzeniem i egzekwowania dostępu warunkowego.

Platforma systemu Windows

Odnowienie PRT odbywa się na dwa różne sposoby:

• Wtyczka Microsoft Entra CloudAP co 4 godziny: Wtyczka CloudAP odnawia PRT co 4 godziny podczas logowania do systemu Windows. Jeśli użytkownik nie ma w tym czasie połączenia z Internetem, wtyczka CloudAP odnowi żądanie PRT po nawiązaniu połączenia z Internetem urządzenia i zostanie wykonane nowe logowanie systemu Windows.
• Wtyczka Microsoft Entra WAM podczas żądań tokenu aplikacji: Wtyczka WAM umożliwia logowanie jednokrotne na urządzeniach z systemem Windows 10 lub nowszym, umożliwiając ciche żądania tokenów dla aplikacji. Wtyczka WAM może odnowić token PRT podczas żądań tokenu na dwa różne sposoby:
  • Aplikacja żąda tokenu WAM na uzyskanie dostępu bez wyświetlania okna dialogowego, ale nie ma dostępnego tokenu odświeżania dla tej aplikacji. W tym przypadku WAM używa PRT do zażądania tokenu dla aplikacji i otrzymuje nowe PRT w odpowiedzi.
  • Aplikacja żąda od WAM tokenu dostępu, ale PRT jest nieprawidłowy lub usługa Microsoft Entra ID wymaga dodatkowej autoryzacji (na przykład uwierzytelniania wieloskładnikowego firmy Microsoft). W tym scenariuszu WAM inicjuje logowanie interakcyjne wymagające ponownego uwierzytelnienia użytkownika lub zapewnienie dodatkowej weryfikacji, a nowy prT jest wystawiany po pomyślnym uwierzytelnieniu.

W środowisku usług ADFS bezpośrednia łączność z kontrolerem domeny nie jest wymagana do odnowienia PRT. Odnawianie PRT wymaga jedynie włączenia punktów końcowych /adfs/services/trust/2005/usernamemixed i /adfs/services/trust/13/usernamemixed na serwerze proxy przy użyciu protokołu WS-Trust.

Punkty końcowe transportu systemu Windows są wymagane do uwierzytelniania haseł tylko wtedy, gdy hasło zostanie zmienione, a nie w przypadku odnawiania prT.

Najważniejsze zagadnienia

• W urządzeniach dołączonych do usługi Microsoft Entra oraz w hybrydowych urządzeniach dołączonych do Microsoft Entra, wtyczka CloudAP jest głównym organem dla PRT. Jeśli żądanie PRT jest odnawiane podczas żądania tokenu opartego na WAM, żądanie PRT jest wysyłane z powrotem do wtyczki CloudAP, która weryfikuje ważność prT za pomocą identyfikatora Entra firmy Microsoft przed zaakceptowaniem go.

System macOS odnawia podstawowy token odświeżania PSSO co 4 godziny lub wcześniej, jeśli brakuje tokenów SSO lub wygasły.

W systemie iOS istnieje również oportunistyczna aktualizacja, gdy urządzenie jest ładowane, dzieje się nie częściej niż raz na dwa dni, z zastrzeżeniem alokacji zasobów przez system operacyjny iOS. Podobnie jak na innych platformach, PRT jest ważny przez 90 dni, jeśli jest używany.

Token PRT jest ważny przez 90 dni i odnawiany co 4 godziny, jeśli użytkownik aktywnie korzysta z urządzenia.

• PRT jest ważny przez 90 dni i jest stale odnawiany, dopóki użytkownik aktywnie korzysta z urządzenia.
• Token odświeżania klucza zasad (PRT) jest wydawany i odnawiany tylko podczas uwierzytelniania aplikacji natywnej. PRT nie jest odnawiany ani wystawiany podczas sesji przeglądarki.
• Istnieje możliwość uzyskania PRT bez konieczności rejestracji urządzenia (Workplace Join) i włączenia SSO.
• Uzyskane bez rejestracji urządzenia PRT (pierwotne tokeny odświeżania) nie mogą spełniać kryteriów autoryzacji dostępu warunkowego, które opierają się na stanie lub zgodności urządzenia.

PRT jest chroniony przez powiązanie go z urządzeniem, na które zalogował się użytkownik, gdzie będzie korzystać z powiązania z użyciem sprzętu, gdy jest ono dostępne i obsługiwane.

Microsoft Entra ID i Windows 10 lub nowsze umożliwiają ochronę PRT za pomocą następujących metod:

• Podczas pierwszego logowania: podczas pierwszego logowania PRT jest wystawiany poprzez podpisywanie żądań przy użyciu klucza urządzenia, który został kryptograficznie wygenerowany podczas rejestracji urządzenia. Na urządzeniu z prawidłowym i działającym modułem TPM klucz urządzenia jest zabezpieczony przez moduł TPM uniemożliwiający złośliwy dostęp. Token odświeżania nie jest wydawany, jeśli nie można zweryfikować odpowiedniego podpisu klucza urządzenia.
• Podczas żądań tokenu i odnowienia: gdy wydawane jest PRT, Microsoft Entra ID także wydaje zaszyfrowany klucz sesji do urządzenia. Jest ona szyfrowana przy użyciu klucza transportu publicznego (tkpub) wygenerowanego i wysłanego do identyfikatora Entra firmy Microsoft w ramach rejestracji urządzenia. Ten klucz sesji można odszyfrować tylko za pomocą prywatnego klucza transportowego (tkpriv), zabezpieczonego przez moduł zabezpieczeń TPM. Klucz sesji to klucz dowodu posiadania (POP) dla wszystkich żądań wysyłanych do Microsoft Entra ID. Klucz sesji jest również chroniony przez moduł TPM i żaden inny składnik systemu operacyjnego nie może uzyskać do niego dostępu. Żądania tokenu lub żądania odnowienia PRT są bezpiecznie podpisane przez ten klucz sesji za pośrednictwem modułu TPM, dlatego nie można ich manipulować. Firma Microsoft Entra unieważnia wszystkie żądania z urządzenia, które nie są podpisane przez odpowiedni klucz sesji.

Zabezpieczając te klucze za pomocą modułu TPM, zwiększamy bezpieczeństwo prT ze strony złośliwych podmiotów próbujących ukraść klucze lub odtworzyć prT. W związku z tym użycie modułu TPM znacznie zwiększa bezpieczeństwo urządzeń połączonych, połączonych hybrydowo i zarejestrowanych w Microsoft Entra przed kradzieżą poświadczeń. W przypadku wydajności i niezawodności moduł TPM 2.0 jest zalecaną wersją dla wszystkich scenariuszy rejestracji urządzeń firmy Microsoft Entra w systemie Windows 10 lub nowszym. Po aktualizacji systemu Windows 10, 1903 identyfikator Entra firmy Microsoft nie używa modułu TPM 1.2 dla żadnego z powyższych kluczy z powodu problemów z niezawodnością.

Podstawowy token odświeżania (PRT) jest bezpiecznie powiązany z urządzeniem, na którym loguje się użytkownik. Microsoft Entra ID i macOS wymuszają tę ochronę za pomocą kilku mechanizmów:

PRT jest wydawany dopiero po podpisaniu wniosku przy użyciu klucza podpisującego urządzenie wspieranego przez enklawę, który jest kryptograficznie generowany podczas rejestracji urządzenia. Jeśli nie można zweryfikować podpisu z tego klucza, PRT nie zostanie wydany.

W przypadku macOS, który wykorzystuje platformowe jednokrotne logowanie (SSO), domyślnie będzie stosowane powiązanie ze sprzętem.

Aby włączyć powiązanie sprzętowe w systemach iOS i Mac, postępuj zgodnie ze wskazówkami wtyczki logowania jednokrotnego firmy Apple

Systemy Android, iOS i Linux nie obsługują powiązania sprzętowego dla PRT.

Aby włączyć powiązanie sprzętowe w systemach iOS i Mac, postępuj zgodnie ze wskazówkami wtyczki logowania jednokrotnego firmy Apple

• Gdy aplikacja żąda tokenu za pośrednictwem WAM, identyfikator Entra firmy Microsoft wystawia token dostępu i, w niektórych typach żądań, token odświeżania. Jednak WAM zwraca tylko token dostępu do aplikacji i zabezpiecza token odświeżania:
  • Jeśli jest to token odświeżania dla użytkownika SSO, ten token odświeżania jest powiązany z urządzeniem przy użyciu klucza sesji (takiego samego jak PRT) lub klucza urządzenia.
  • Jeśli jest to token odświeżania dla użytkownika bez SSO (logowania jednokrotnego), to ten token odświeżania nie jest powiązany z urządzeniem.
• Wszystkie tokeny odświeżania są szyfrowane przez interfejs DPAPI.

• Niezarządzany system iOS: Na urządzeniach bez profilu rozszerzenia logowania jednokrotnego MDM broker zwraca zarówno token dostępu, jak i token odświeżania do aplikacji wywołującej. Aplikacja wywołująca używa tokenu odświeżania do kolejnych odświeżeń i token odświeżania nie będzie chroniony.
• macOS/iOS zarządzane: Na urządzeniach z profilem rozszerzenia MDM SSO broker zwraca tylko token dostępu do aplikacji wywołującej. Broker używa PRT do każdego kolejnego odświeżania tokenu i nie używa niechronionego tokenu odświeżania. Zalecamy klientom korzystanie z tej konfiguracji zamiast niezarządzanej z powodu dodatkowej ochrony, jaką zapewnia.

• Broker zwraca tylko token dostępu do wywołującej aplikacji i przechowuje token odświeżania aplikacji lokalnie dla urządzeń zarządzanych i niezarządzanych.

• W systemie Linux broker zwraca tylko token dostępu do wywołującej aplikacji i przechowuje tokeny odświeżania lokalnie dla zarządzanych i niezarządzanych urządzeń.
• Lokalnie przechowywane tokeny odświeżania są szyfrowane przy użyciu klucza szyfrowania przechowywanego w kluczu logowania użytkownika systemu UNIX.

• W systemie Windows 10 lub nowszym identyfikator Entra firmy Microsoft obsługuje natywnie logowanie jednokrotne przeglądarki w przeglądarce Microsoft Edge, w przeglądarce Google Chrome za pośrednictwem natywnej pomocy technicznej lub rozszerzenia oraz w przeglądarce Mozilla Firefox v91+ za pośrednictwem ustawienia przeglądarki.

• Gdy użytkownik inicjuje interakcję z przeglądarką, przeglądarka (lub rozszerzenie) wywołuje interfejs API platformy. Rozszerzenie wywołuje ten interfejs API za pośrednictwem natywnego hosta obsługi komunikatów. Interfejs API zapewnia, że strona pochodzi z jednej z dozwolonych domen. Przeglądarka wysyła pełny ciąg zapytania, który zawiera jednorazowy identyfikator. Interfejs API platformy tworzy PRT i nagłówek urządzenia, które są podpisane przy użyciu kluczy chronionych przez moduł TPM. Nagłówek PRT jest podpisany przez klucz sesji, a nagłówek urządzenia przez klucz urządzenia, co sprawia, że jest trudny do zmanipulowania. Te nagłówki są uwzględniane we wszystkich żądaniach kierowanych do Microsoft Entra ID w celu zweryfikowania urządzenia, z którego pochodzą, oraz użytkownika. Gdy Microsoft Entra ID weryfikuje te nagłówki, wystawia plik cookie sesji do przeglądarki. Ten plik cookie sesji zawiera również ten sam klucz sesji lub urządzenia używany do podpisania żądania. Podczas kolejnych żądań klucz sesji jest weryfikowany, skutecznie wiążąc plik cookie z urządzeniem i zapobiegając powtórkom z innego miejsca.

Przeglądarki Safari i Microsoft Edge z profilem rozszerzenia logowania jednokrotnego będą miały pliki cookie chronione przez klucz sesji PRT. Przeglądarka Microsoft Edge wymaga zalogowania użytkownika do profilu przeglądarki Microsoft Edge. Pliki cookie nie są chronione bez profilu rozszerzenia SSO (Single Sign-On).

Podczas logowania interaktywnego generowany jest plik cookie logowania jednokrotnego przeglądarki, przy użyciu PRT i klucza sesji, które znajdują się w magazynie zarządzanym przez konto systemu Android. Tylko dla przeglądarki Microsoft Edge i konieczne jest zalogowanie się przez użytkownika.

Przeglądarka Microsoft Edge na systemie Linux może zażądać od pośrednika pliku cookie logowania jednokrotnego (SSO), aby włączyć tę funkcję. Broker generuje plik cookie logowania jednokrotnego (SSO) przy użyciu PRT i klucza sesji, które są przechowywane odpowiednio w kontekście użytkownika i kontekście brokera urządzenia, aby zwrócić wygenerowany plik cookie do przeglądarki Microsoft Edge. Przeglądarka Microsoft Edge wymaga zalogowania użytkownika do profilu. Teoretycznie aplikacje inne niż Microsoft Edge mogą również żądać tego pliku cookie z brokera, ponieważ nie ma tożsamości aplikacji na platformie Linux. Granica zabezpieczeń systemu operacyjnego znajduje się wokół kontekstu użytkownika systemu UNIX i tylko aplikacje w tym samym kontekście użytkownika mogą uzyskać ciasteczko SSO dla użytkownika w tym kontekście.

• Zaloguj się przy użyciu Windows Hello dla firm: Windows Hello dla firm zastępuje hasła i używa kluczy kryptograficznych do zapewnienia silnego uwierzytelniania dwuskładnikowego. Windows Hello dla firm wymaga uwierzytelniania wieloskładnikowego do skonfigurowania i jest przypisany do konkretnego użytkownika na urządzeniu. Gdy użytkownik loguje się przy użyciu Windows Hello dla firm, PRT użytkownika otrzymuje potwierdzenie uwierzytelniania wieloskładnikowego. Ten scenariusz dotyczy również użytkowników logujących się za pomocą kart inteligentnych, jeśli uwierzytelnianie kartą inteligentną generuje oświadczenie uwierzytelniania wieloskładnikowego (MFA) z usług ADFS.
  • Ponieważ Windows Hello dla Firm jest uznawane za uwierzytelnianie wieloskładnikowe, oświadczenie MFA jest aktualizowane po odświeżeniu samego PRT, więc okres ważności uwierzytelniania będzie się wydłużał przy każdym logowaniu użytkowników za pomocą Windows Hello dla Firm.
• Uwierzytelnianie wieloskładnikowe podczas interaktywnego logowania WAM: Podczas żądania tokenu za pośrednictwem WAM, jeśli użytkownik musi wykonać uwierzytelnianie wieloskładnikowe, aby uzyskać dostęp do aplikacji, odnawiany podczas tej interakcji PRT zostaje oznaczony oświadczeniem MFA.
  • W takim przypadku przypis uwierzytelniania wieloskładnikowego nie jest stale aktualizowany, więc czas trwania uwierzytelniania wieloskładnikowego jest oparty na czasie istnienia ustawionym w katalogu.
  • Gdy poprzedni istniejący prT i RT są używane do uzyskiwania dostępu do aplikacji, prT i RT są uważane za pierwszy dowód uwierzytelniania. Nowy protokół RT jest wymagany wraz z drugą weryfikacją i wydrukowanym roszczeniem MFA. Proces ten wydaje również nowe PRT i RT.
• System Windows 10 lub nowszy obsługuje partycjonowaną listę głównych tokenów odświeżania (PRT) dla każdego danego uwierzytelniającego. Istnieje więc PRT dla Windows Hello dla firm, hasła lub karty inteligentnej. Ten podział gwarantuje, że twierdzenia MFA są izolowane na podstawie użytych poświadczeń i nie są mieszane podczas żądań tokenów.

Jeśli zasady CA zostały skonfigurowane przez administratora, użytkownik jest zobowiązany do wykonania uwierzytelniania wieloskładnikowego. W takich przypadkach token PRT zostanie zaktualizowany i uzyska potwierdzenie uwierzytelniania wieloskładnikowego. Okres ważności roszczenia jest oparty na ustawionym okresie przechowywania w katalogu.