Noções básicas sobre o PRT (Primary Refresh Token)

Se o dispositivo tiver um TPM/Secure Hardware Storage válido e funcional, as chaves privadas serão vinculadas ao Armazenamento Seguro do dispositivo em plataformas suportadas. As chaves públicas são enviadas para o Microsoft Entra ID durante o processo de registro do dispositivo para validar o estado do dispositivo durante as solicitações PRT.

O PRT é emitido durante a autenticação do usuário em um dispositivo Windows 10 ou mais recente em dois cenários:

• Microsoft Entra aderido ou Microsoft Entra aderido híbrido: um PRT é emitido durante o início de sessão do Windows quando um utilizador entra com as suas credenciais de organização. Um PRT é emitido com todas as credenciais suportadas do Windows 10 ou mais recentes, por exemplo, palavra-passe e Windows Hello para Empresas. Nesse cenário, o plugin Microsoft Entra CloudAP constitui a autoridade principal para o PRT
• Dispositivo registado Microsoft Entra: um PRT é emitido quando um utilizador adiciona uma conta de trabalho secundária ao seu dispositivo Windows 10 ou mais recente. Os utilizadores podem adicionar uma conta ao Windows 10 ou mais recente de duas formas diferentes:
  • Adicionar uma conta através da mensagem Permitir que a minha organização gerencie o meu dispositivo depois de fazer login em uma aplicação (por exemplo, Outlook)
  • Adicionar uma conta a partir de Definições>Contas>Aceder ao Trabalho ou à Escola>Conectar

Em cenários de dispositivos registrados do Microsoft Entra, o plug-in WAM do Microsoft Entra é a principal autoridade para o PRT, uma vez que o login do Windows não está acontecendo com essa conta do Microsoft Entra.

macOS com SSO da plataforma

O macOS Platform Single Sign-on (PSSO) é um novo recurso alimentado pelo plug-in Enterprise SSO da Microsoft, Platform Credentials for macOS que permite que os usuários entrem em dispositivos Mac usando suas credenciais Microsoft Entra ID.

O PSSO Primary Refresh Token (PRT) é emitido exclusivamente para dispositivos macOS ingressados no Entra, que concluíram com êxito o registro SSO da plataforma. Durante esse processo de registro, o macOS gera pares de chaves criptográficas seguras apoiadas por enclave: um para assinatura de dispositivo e outro para criptografia de dispositivo. As referências de chave pública são compartilhadas com a extensão SSO.

A extensão SSO usa essas chaves para concluir o registro do dispositivo com o Serviço de Registro de Dispositivo do Microsoft Entra ID. Em seguida, configura a API loginConfiguration da Apple com os parâmetros necessários para a aquisição de PRT.

macOS sem SSO da plataforma

O macOS suporta PRTs não registados para o Microsoft Edge e PRTs registados quando o dispositivo está associado a um local de trabalho e o corretor está presente

Quando o registo for concluído com sucesso, o macOS inicia um pedido de início de sessão assinado com a chave de assinatura do dispositivo. O Microsoft Entra ID valida a solicitação, a chave de assinatura do dispositivo e os parâmetros associados e emite a resposta PRT.

iOS, macOS e Android suportam PRTs não registrados para Microsoft Edge e PRTs registrados quando o corretor está presente.

O Linux suporta PRTs não registrados para Microsoft Edge e PRTs registrados quando o broker está presente.

Windows - Puxará o PRT do corretor para o navegador nos seguintes navegadores:

• Microsoft Edge

• Firefox

• Cromado

Android - Microsoft Edge puxará o PRT do corretor para o navegador

No iOS e macOS, os navegadores também podem obter o PRT quando o perfil de extensão SSO é instalado, habilitando:

• Suporte para Chrome e Firefox no macOS
• Suporte do Safari no iOS e macOS
• Microsoft Edge no iOS e macOS

Linux - O Microsoft Edge puxará o PRT do corretor para o navegador'

Um PRT é usado por dois componentes principais no Windows:

• Plug-in Microsoft Entra CloudAP: Durante o início de sessão no Windows, o plug-in Microsoft Entra CloudAP solicita um PRT do Microsoft Entra ID usando as credenciais fornecidas pelo utilizador. Ele também armazena em cache o PRT para habilitar o login em cache quando o usuário não tem acesso a uma conexão com a Internet.
• Plug-in Microsoft Entra WAM: Quando os usuários tentam acessar aplicativos, o plug-in Microsoft Entra WAM usa o PRT para habilitar o SSO no Windows 10 ou mais recente. O plugin WAM do Microsoft Entra utiliza o PRT para solicitar tokens de renovação e de acesso para aplicações que dependem do WAM para pedidos de token. Ele também permite o SSO em navegadores, injetando o PRT em solicitações do navegador. O SSO do navegador no Windows 10 ou mais recente é suportado no Microsoft Edge (nativamente), no Chrome (através da extensão Contas do Windows 10) e no Mozilla Firefox (versão 91+), através da configuração de Windows SSO no Firefox.

  Nota

  Nos casos em que um usuário tem duas contas do mesmo locatário do Microsoft Entra conectado a um aplicativo de navegador, a autenticação de dispositivo fornecida pelo PRT da conta principal também é aplicada automaticamente à segunda conta. Como resultado, a segunda conta também satisfaz qualquer política de Acesso Condicional baseada em dispositivo no locatário.

Um PRT é usado pela extensão SSO para fornecer SSO para aplicativos e sites. Um PRT (Primary Refresh Token) é utilizado para solicitar tokens de revalidação e de acesso para aplicações que dependem da extensão SSO para pedidos de tokens. Ele também permite o SSO em navegadores, injetando o PRT em solicitações do navegador.

Os navegadores que suportam o SSO do navegador são Safari, Firefox, Chrome e Microsoft Edge.

Para iOS, apenas o Microsoft Edge e o Safari são compatíveis com o SSO do navegador.

Para Android, apenas o Microsoft Edge é compatível com o SSO do navegador.

Os únicos aplicativos nativos integrados atualmente são o Intune e o Microsoft Edge Browser. Para suporte a navegadores, apenas o Microsoft Edge Browser está protegido para tokens vinculados ao dispositivo e imposição de Acesso Condicional.

Plataforma Windows

Um PRT é renovado de duas maneiras diferentes:

• Plug-in do Microsoft Entra CloudAP a cada 4 horas: O plug-in CloudAP renova o PRT a cada 4 horas durante o início de sessão do Windows. Se o usuário não tiver conexão com a Internet durante esse tempo, o plug-in CloudAP renovará o PRT depois que o dispositivo estiver conectado à internet e um novo login do Windows for feito.
• Plug-in WAM do Microsoft Entra durante solicitações de token de aplicativo: o plug-in WAM permite o SSO em dispositivos Windows 10 ou mais recentes, permitindo requisições silenciosas de token para aplicativos. O plug-in WAM pode renovar o PRT durante essas solicitações de token de duas maneiras diferentes:
  • Uma aplicação solicita silenciosamente um token de acesso a WAM, mas não há um token de renovação disponível para essa aplicação. Nesse caso, o WAM usa o PRT para solicitar um token para o aplicativo e recebe de volta um novo PRT na resposta.
  • Um aplicativo solicita WAM para um token de acesso, mas o PRT é inválido ou o Microsoft Entra ID requer autorização extra (por exemplo, autenticação multifator do Microsoft Entra). Nesse cenário, o WAM inicia uma entrada interativa exigindo que o usuário se autentique novamente ou forneça verificação extra e um novo PRT é emitido na autenticação bem-sucedida.

Em um ambiente ADFS, a linha de visão direta para o controlador de domínio não é necessária para renovar o PRT. A renovação PRT requer apenas os endpoints /adfs/services/trust/2005/usernamemixed e /adfs/services/trust/13/usernamemixed habilitados no proxy usando o protocolo WS-Trust.

Os endpoints de transporte do Windows são necessários para autenticação de senha somente quando uma senha é alterada, não para renovação de PRT.

Considerações principais

• Nos dispositivos Microsoft Entra unidos e Microsoft Entra híbridos, o plug-in CloudAP é a principal autoridade para um PRT. Se um PRT for renovado durante uma solicitação de token baseada em WAM, o PRT será enviado de volta para o plug-in CloudAP, que verifica a validade do PRT com o Microsoft Entra ID antes de aceitá-lo.

O macOS renova o PSSO Primary Refresh Token (PRT) a cada 4 horas, ou antes, se os tokens SSO estiverem ausentes ou tiverem expirado.

No iOS, há também uma atualização oportunista quando o dispositivo está carregando, acontecendo não mais do que uma vez a cada dois dias, sujeita à alocação de recursos pelo sistema operacional iOS. À semelhança de outras plataformas, um PRT é válido por 90 dias se estiver em uso.

Um PRT é válido por 90 dias e é renovado a cada 4 horas se o usuário usar ativamente o dispositivo.

• Um PRT é válido por 90 dias e é continuamente renovado, desde que o usuário use ativamente o dispositivo.
• Um PRT só é emitido e renovado durante a autenticação nativa do aplicativo. Um PRT não é renovado ou emitido durante uma sessão do navegador.
• É possível obter um PRT sem a necessidade de registro de dispositivo (Ingresso no Local de Trabalho) e habilitar o SSO.
• Os PRTs obtidos sem o registro do dispositivo não podem satisfazer os critérios de autorização para Acesso Condicional que dependem do status ou da conformidade do dispositivo.

Um PRT é protegido associando-o ao dispositivo no qual o utilizador fez login, onde usará a vinculação de hardware quando disponível e suportada.

O Microsoft Entra ID e o Windows 10 ou mais recente habilitam a proteção PRT através dos seguintes métodos:

• Durante o primeiro login: Durante o primeiro login, um PRT é emitido assinando solicitações usando a chave do dispositivo gerada criptograficamente durante o registro do dispositivo. Em um dispositivo com um TPM válido e funcional, a chave do dispositivo é protegida pelo TPM impedindo qualquer acesso mal-intencionado. Um PRT não é emitido se a assinatura da chave de dispositivo correspondente não puder ser validada.
• Durante solicitações de token e renovação: Quando um PRT é emitido, o Microsoft Entra ID também emite uma chave de sessão criptografada para o dispositivo. É encriptado com a chave de transporte público (tkpub) gerada e enviada para o Microsoft Entra ID como parte do registo do dispositivo. Esta chave de sessão só pode ser desencriptada pela chave de transporte privada (tkpriv) protegida pelo TPM. A chave de sessão é a chave de Prova de Posse (POP) para quaisquer solicitações enviadas para o Microsoft Entra ID. A chave de sessão também é protegida pelo TPM e nenhum outro componente do sistema operacional pode acessá-la. As solicitações de token ou solicitações de renovação PRT são assinadas com segurança por essa chave de sessão através do TPM e, portanto, não podem ser adulteradas. O Microsoft Entra invalida quaisquer solicitações do dispositivo que não estejam assinadas pela chave de sessão correspondente.

Ao proteger estas chaves com o TPM, aumentamos a segurança do PRT contra atores mal-intencionados que tentam roubar as chaves ou reproduzir o PRT. Assim, o uso de um TPM aumenta significativamente a segurança de dispositivos associados ao Microsoft Entra, associados híbridos ao Microsoft Entra e registados no Microsoft Entra contra o roubo de credenciais. Para desempenho e confiabilidade, o TPM 2.0 é a versão recomendada para todos os cenários de registro de dispositivo Microsoft Entra no Windows 10 ou mais recente. Após a atualização do Windows 10, 1903, o Microsoft Entra ID não usa o TPM 1.2 para nenhuma das chaves acima devido a problemas de confiabilidade.

Um PRT (Primary Refresh Token) é vinculado com segurança ao dispositivo no qual o usuário entra. O Microsoft Entra ID e o macOS aplicam esta proteção através de vários mecanismos:

O PRT é emitido somente depois que uma solicitação é assinada usando uma Chave de Assinatura de Dispositivo segura apoiada por enclave, que é gerada criptograficamente durante o registro do dispositivo. Se a assinatura desta chave não puder ser validada, o PRT não será emitido.

Para macOS onde o SSO da plataforma é usado, ele usará a vinculação de hardware por padrão.

Para ativar a vinculação de hardware no iOS e Mac, siga as orientações do plug-in SSO da Apple

Android, iOS e Linux não suportam vinculação de hardware para PRTs.

Para ativar a vinculação de hardware no iOS e Mac, siga as orientações do plug-in SSO da Apple

• Quando um aplicativo solicita token por meio do WAM, o Microsoft Entra ID emite um token de acesso e, em alguns tipos de solicitações, um token de atualização. No entanto, o WAM retorna apenas o token de acesso ao aplicativo e protege o token de atualização:
  • Se for um token de atualização para um usuário SSO, esse token de atualização será vinculado ao dispositivo, com uma chave de sessão (a mesma que PRT) ou a chave do dispositivo.
  • Se for um token de atualização para um usuário que não seja SSO, esse token de atualização não estará vinculado ao dispositivo.
• Todos os tokens de atualização são criptografados pelo DPAPI.

• iOS não gerenciado: em dispositivos sem perfil de extensão MDM SSO, o intermediário retorna o token de acesso e o token de atualização para a aplicação que fez a chamada. O aplicativo de chamada usa o token de atualização para atualizações subsequentes e esse token de atualização não será protegido.
• macOS/iOS gerenciado: em dispositivos com perfil de extensão MDM SSO, o broker retorna apenas o token de acesso ao aplicativo de chamada. O corretor usa PRT para qualquer atualização de token subsequente e não usa token de atualização desprotegido. Recomendamos que os clientes usem essa configuração sobre a não gerenciada devido à proteção extra que ela oferece.

• O broker apenas retorna o token de acesso para a aplicação que chamou e armazena o token de atualização da aplicação localmente para dispositivos geridos e não geridos.

• No Linux, o broker retorna apenas o token de acesso ao aplicativo de chamada e armazena tokens de atualização localmente para dispositivos gerenciados e não gerenciados.
• Os tokens de atualização armazenados localmente são criptografados com uma chave de criptografia armazenada no chaveiro de entrada do usuário UNIX.

• No Windows 10 ou mais recente, o Microsoft Entra ID suporta SSO do navegador no Microsoft Edge nativamente, no Google Chrome via suporte nativo ou extensão e no Mozilla Firefox v91+ através de uma configuração do navegador.

• Quando um usuário inicia uma interação com o navegador, o navegador (ou a extensão) invoca uma API da plataforma. A extensão chama essa API por meio de um host de mensagens nativo. A API garante que a página seja de um dos domínios permitidos. O navegador envia uma cadeia de caracteres de consulta completa, que inclui um nonce. A API da plataforma cria um PRT e um cabeçalho de dispositivo, que são assinados com as chaves protegidas pelo TPM. O cabeçalho PRT é assinado pela chave de sessão, o cabeçalho do dispositivo pela chave do dispositivo, portanto, é difícil adulterá-lo. Esses cabeçalhos são incluídos em todas as solicitações para que o Microsoft Entra ID valide o dispositivo de origem e o usuário. Depois que o Microsoft Entra ID valida esses cabeçalhos, ele emite um cookie de sessão para o navegador. Este cookie de sessão também contém a mesma chave de sessão ou dispositivo utilizada para assinar o pedido. Durante solicitações subsequentes, a chave de sessão é validada efetivamente vinculando o cookie ao dispositivo e impedindo repetições de outro lugar.

O Safari e o Microsoft Edge com o perfil de extensão SSO terão cookies protegidos pela chave de sessão PRT. O Microsoft Edge exige que o usuário esteja conectado ao perfil do Microsoft Edge. Os cookies não são protegidos sem o perfil de extensão SSO.

Durante os logins interativos, o cookie SSO do navegador é gerado (usando o PRT e a chave de sessão que está no armazenamento gerenciado da conta Android). Aplicável apenas ao navegador Microsoft Edge e ao usuário deve estar conectado.

O Microsoft Edge no Linux pode solicitar ao agente um cookie SSO do navegador para habilitar o SSO no Microsoft Edge. O broker gera o cookie SSO usando o PRT armazenado no contexto do utilizador e a chave de sessão armazenada no contexto do broker do dispositivo, respetivamente, para retornar o cookie gerado ao Microsoft Edge. O Microsoft Edge exige que o usuário esteja conectado ao perfil. Teoricamente, outros aplicativos além do Microsoft Edge também podem solicitar esse cookie do Broker, uma vez que não há identidade de aplicativo na plataforma Linux. O limite de segurança do sistema operacional está em torno do usuário UNIX e apenas aplicativos no mesmo contexto de usuário podem adquirir cookie SSO para um usuário nesse contexto.

• Entrar com o Windows Hello for Business: o Windows Hello for Business substitui senhas e usa chaves criptográficas para fornecer autenticação forte de dois fatores. O Windows Hello for Business é específico para um utilizador em um dispositivo e, ele próprio, requer MFA para provisionamento. Quando um usuário faz login com o Windows Hello for Business, o PRT do usuário recebe uma declaração de MFA. Este cenário também se aplica aos utilizadores que iniciam sessão com cartões inteligentes se a autenticação de cartão inteligente produzir uma declaração MFA do ADFS.
  • Como o Windows Hello for Business é considerado autenticação multifator, a reivindicação de MFA é atualizada quando o próprio PRT é atualizado, assim, a duração do MFA será continuamente prolongada quando os utilizadores se autenticarem com o Windows Hello for Business.
• MFA durante o login interativo do WAM: durante uma solicitação de token por meio do WAM, se um usuário for obrigado a fazer MFA para acessar o aplicativo, o PRT renovado durante essa interação será impresso com uma declaração de MFA.
  • Nesse caso, a declaração de MFA não é atualizada continuamente, portanto, a duração da MFA é baseada no tempo de vida definido no diretório.
  • Quando um PRT e RT existentes anteriormente são usados para acessar um aplicativo, o PRT e o RT são considerados como a primeira prova de autenticação. É necessário um novo RT com uma segunda prova e uma reivindicação de Autenticação Multi-Fator impressa. Este processo também emite um novo PRT e RT.
• O Windows 10 ou mais recente mantém uma lista particionada de PRTs para cada credencial. Portanto, há um PRT para cada um dos seguintes: Windows Hello for Business, senha ou cartão inteligente. Esse particionamento garante que as declarações de MFA sejam isoladas com base na credencial usada e não misturadas durante solicitações de token.

Se as políticas de autoridade de certificação tiverem sido definidas pelo administrador, o usuário deverá fazer MFA. Nesses casos, o PRT seria atualizado e receberia uma reivindicação de MFA. A duração da reivindicação é baseada na vida útil definida no diretório.