Основные сведения о основном маркере обновления (PRT)

Если устройство имеет рабочий и действующий модуль TPM/безопасное аппаратное хранилище, то закрытые ключи привязаны к защищенному хранилищу устройства на поддерживаемых платформах. Публичные ключи отправляются в Microsoft Entra ID при регистрации устройства, чтобы проверить состояние устройства во время PRT-запросов.

PRT выдается во время проверки подлинности пользователя на устройстве Windows 10 и более поздних версий в двух сценариях:

• Присоединение к Microsoft Entra или гибридное присоединение к Microsoft Entra: PRT выдается во время входа в систему Windows, когда пользователь входит с учетными данными своей организации. PRT выдается со всеми поддерживаемыми Windows 10 или более поздних версий учетными данными, например, паролем и Windows Hello для бизнеса. В этом сценарии подключаемый модуль Microsoft Entra CloudAP является основным центром для PRT
• Зарегистрированное устройство Microsoft Entra: PRT выдается, когда пользователь добавляет вторую рабочую учетную запись на устройство с Windows 10 или более поздней версии. Пользователи могут добавлять учетную запись в Windows 10 или более поздней версии двумя способами:
  • Добавив учетную запись с помощью запроса Разрешить организации управлять моим устройством после входа в приложение (например, Outlook).
  • Добавив учетную запись из раздела Параметры>Учетные записи>Доступ к учетной записи места работы или учебного заведения>Подключение.

В сценариях зарегистрированных устройств Microsoft Entra плагин Microsoft Entra WAM является основным авторитетом для PRT, так как вход в Windows не осуществляется с этой учетной записью Microsoft Entra.

macOS с платформой SSO

Единый вход для платформы macOS (PSSO) — это новая функция, используемая подключаемым модулем единого входа Корпорации Майкрософт, учетными данными платформы для macOS, которая позволяет пользователям входить на устройства Mac с помощью учетных данных Идентификатора Microsoft Entra ID.

Маркер основного обновления PSSO (PRT) выдается исключительно устройствам macOS, присоединённым к Entra, которые успешно завершили регистрацию Единого Входа платформы (SSO). Во время этого процесса регистрации macOS создает пары безопасных криптографических ключей с поддержкой анклавов: один для подписывания устройства и другого для шифрования устройств. Ссылки на открытый ключ обмениваются с расширением единого входа.

Расширение SSO использует эти ключи для завершения регистрации устройств с сервисом регистрации устройств Microsoft Entra ID. Затем он настраивает API Apple "loginConfiguration" с необходимыми параметрами для получения PRT.

macOS без платформенного единого входа

macOS поддерживает незарегистрированные PRTs для Microsoft Edge и зарегистрированные PRTs при присоединении устройства к рабочей сети и наличии брокера.

После успешной регистрации macOS инициирует запрос входа, подписанный ключом подписи устройства. Идентификатор Microsoft Entra проверяет запрос, ключ подписи устройства и связанные параметры, а также выдает ответ PRT.

IOS, macOS и Android поддерживают как незарегистрированные PRTs для Microsoft Edge, так и зарегистрированных PRT при наличии брокера.

Linux поддерживает как незарегистрированные PRTs для Microsoft Edge, так и зарегистрированных PRT при наличии брокера.

Windows — переместит PRT из брокера в следующие браузеры:

• Microsoft Edge

• Firefox

• Хром

Android - Microsoft Edge вытащит PRT из брокера в браузер

В iOS и macOS браузеры также могут получить PRT при установке профиля расширения единого входа, что позволяет:

• Поддержка Chrome и Firefox в macOS
• Поддержка Safari в iOS и macOS
• Microsoft Edge в iOS и macOS

Linux — Microsoft Edge вытащит PRT из брокера в браузер

PRT используют два ключевых компонента в Windows:

• Подключаемый модуль Microsoft Entra CloudAP: во время входа в Windows подключаемый модуль Microsoft Entra CloudAP запрашивает PRT из Microsoft Entra ID, используя учетные данные, предоставленные пользователем. Он также кэширует PRT, чтобы включить кэшированный вход, если у пользователя нет доступа к Интернету.
• Плагин Microsoft Entra WAM: когда пользователи пытаются получить доступ к приложениям, плагин Microsoft Entra WAM использует PRT для включения единого входа в Windows 10 и более поздних версиях. Плагин WAM Microsoft Entra использует PRT для запроса токенов обновления и доступа для приложений, использующих WAM для запросов токенов. Он также позволяет выполнять единый вход в браузерах, внедряя PRT в запросы браузера. Единый вход в браузере в Windows 10 или более поздней версии поддерживается в Microsoft Edge (встроенно), Chrome (с помощью расширения Аккаунты Windows 10) и Mozilla Firefox версии 91+ (параметр Firefox Windows SSO).

  Примечание.

  В случаях, когда у пользователя есть две учетные записи из одного клиента Microsoft Entra, вошедшего в приложение браузера, проверка подлинности устройства, предоставляемая PRT основной учетной записи, автоматически применяется ко второй учетной записи. В результате вторая учетная запись также удовлетворяет требованиям политики условного доступа, основанной на устройствах, в тенанте.

PRT используется расширением единого входа для предоставления единого входа приложениям и веб-сайтам. PRT используется для запроса токенов обновления и доступа для приложений, которые полагаются на расширение единого входа для запросов токенов. Он также позволяет выполнять единый вход в браузерах, внедряя PRT в запросы браузера.

Браузеры, поддерживающие браузерный единый вход в систему, — Safari, Firefox, Chrome и Microsoft Edge.

Для iOS поддерживаются только Microsoft Edge и Safari для единого входа в браузере.

Для Android поддерживается только Microsoft Edge для единого входа в браузере.

Единственными встроенными приложениями сегодня являются Intune и Microsoft Edge Browser. Для поддержки браузера защищён от несанкционированного использования маркеров, привязанных к устройству, и применения политик условного доступа только Microsoft Edge.

Платформа Windows

PRT обновляется двумя разными способами:

• Плагин Microsoft Entra CloudAP каждые 4 часа: Плагин CloudAP обновляет PRT каждые 4 часа во время входа в систему Windows. Если в течение этого времени у пользователя нет подключения к Интернету, подключаемый модуль CloudAP обновит PRT после подключения устройства к Интернету и нового входа в Windows.
• Подключаемый модуль Microsoft Entra WAM при запросах маркера приложения: подключаемый модуль WAM обеспечивает единый вход на устройствах под управлением Windows 10 или более новых версий, позволяя фоновые запросы маркеров для приложений. Плагин WAM может обновить PRT во время этих запросах токенов двумя способами.
  • Приложение тихо запрашивает WAM для получения маркера доступа, но для этого приложения нет токена обновления. В этом случае WAM использует PRT, чтобы запросить токен для приложения и получает новый PRT в ответ.
  • Приложение запрашивает WAM для токена доступа, но PRT является недопустимым или идентификатор Microsoft Entra ID требует дополнительной авторизации (например, многофакторная аутентификация Microsoft Entra). В этом сценарии WAM инициирует интерактивный вход, требующий от пользователя повторной проверки подлинности или предоставления дополнительной проверки подлинности, а новый PRT выдан при успешной проверке подлинности.

В среде ADFS прямая линия видимости контроллера домена не требуется для продления PRT. Для продления PRT требуются только конечные точки /adfs/services/trust/2005/usernamemixed и /adfs/services/trust/13/usernamemixed, включенные на прокси-сервере с использованием протокола WS-Trust.

Конечные точки транспорта Windows необходимы для проверки пароля только при его изменении, но не для обновления PRT.

Основные рекомендации

• На устройствах, присоединенных к Microsoft Entra и гибридно присоединенных к Microsoft Entra, подключаемый модуль CloudAP является основным авторитетом для PRT. Если PRT обновляется во время запроса токена на основе WAM, PRT отправляется обратно в подключаемый модуль CloudAP, который проверяет допустимость PRT с Microsoft Entra ID до его принятия.

macOS обновляет основной маркер обновления PSSO каждые 4 часа или раньше, если маркеры единого входа отсутствуют или истекли.

В iOS также есть оппортунистическое обновление при зарядке устройства, происходит не чаще, чем один раз в два дня, при условии выделения ресурсов операционной системой iOS. Аналогично другим платформам, PRT действителен в течение 90 дней при использовании.

PRT действителен в течение 90 дней и обновляется каждые 4 часа, если пользователь активно использует устройство.

• PrT действителен в течение 90 дней и постоянно обновляется до тех пор, пока пользователь активно использует устройство.
• PRT выдается и обновляется только во время проверки подлинности в собственном приложении. PRT не обновляется или не выпускается во время сеанса браузера.
• Вы можете получить PRT без необходимости регистрации устройств (присоединение к рабочему месту) и включить единый вход в систему.
• PRT, полученные без регистрации устройства, не могут соответствовать критериям авторизации условного доступа, зависящим от статуса или соответствия устройства.

PRT защищен путем привязки его к устройству, в которое пользователь вошел в систему. При наличии и поддержке будет использоваться аппаратная привязка.

Идентификатор Microsoft Entra и Windows 10 или более поздней версии обеспечивают защиту PRT с помощью следующих методов:

• Во время первого входа: во время первого входа prT выдается путем подписывания запросов с помощью криптографического шифрования ключа устройства, созданного во время регистрации устройства. На устройстве с действующим и работающим модулем TPM, ключ устройства защищён этим модулем, что предотвращает любой вредоносный доступ. PrT не выдается, если соответствующая подпись ключа устройства не может быть проверена.
• Во время запросов маркера и продления: при выпуске PRT Microsoft Entra ID также выдает зашифрованный ключ сеанса устройству. Он зашифрован с помощью открытого транспортного ключа (tkpub), который создается и отправляется в Microsoft Entra ID в качестве части регистрации устройства. Этот сеансовый ключ может быть расшифрован только частным ключом транспортировки (tkpriv), защищенным модулем TPM. Ключ сеанса — это ключ проверки владения (POP) для любых запросов, отправленных в Microsoft Entra ID. Ключ сессии также защищен модулем TPM, и другие компоненты ОС не могут получить к нему доступ. Запросы токенов или запросы на обновление PRT надежно подписаны этим сеансовым ключом при помощи TPM и, следовательно, не могут быть изменены. Microsoft Entra запрещает любые запросы с устройства, которое не подписано соответствующим ключом сеанса.

Обеспечивая безопасность этих ключей с помощью доверенного платформенного модуля (TPM), мы улучшаем защиту PRT от злоумышленников, пытающихся украсть ключи или повторно воспроизвести PRT. Таким образом, использование доверенного платформенного модуля значительно повышает безопасность устройств, присоединенных к Microsoft Entra, гибридно присоединенных устройств Microsoft Entra и зарегистрированных устройств Microsoft Entra в отношении кражи учетных данных. Для обеспечения производительности и надежности TPM 2.0 является рекомендуемой версией для всех сценариев регистрации устройств Microsoft Entra в Windows 10 или более поздней версии. После обновления Windows 10 1903 идентификатор Microsoft Entra ID не использует TPM 1.2 для любого из указанных выше ключей из-за проблем с надежностью.

Основной маркер обновления (PRT) безопасно привязан к устройству, на котором пользователь входит в систему. Идентификатор Microsoft Entra и macOS обеспечивают эту защиту несколькими механизмами:

PRT выпускается только после подписания запроса с помощью защищенного анклавного ключа подписи устройства, который криптографически создается во время регистрации устройства. Если подпись из этого ключа не может быть проверена, prT не будет выдана.

Для macOS, где используется единая платформа аутентификации, по умолчанию будет использовать аппаратное связывание.

Чтобы включить привязку оборудования на iOS и Mac, следуйте инструкциям из плагина Apple SSO.

Android, iOS и Linux не поддерживают привязку оборудования для PRT.

Чтобы включить аппаратные привязки для iOS и Mac, следуйте инструкциям из подключаемого модуля Apple SSO

• Когда приложение запрашивает токен через WAM, Microsoft Entra ID выдает токен доступа и в некоторых видах запросов токен обновления. Однако WAM возвращает токен доступа только приложению и защищает токен обновления.
  • Если это токен обновления для пользователя с единой системой входа (SSO), то этот токен обновления привязан к устройству с использованием ключа сеанса (такого же, как PRT) или ключа устройства.
  • Если это маркер обновления для пользователя, не использующего SSO, то этот маркер обновления не привязан к устройству.
• Все токены обновления шифруются средством защиты данных DPAPI.

• iOS неуправляемый: на устройствах без профиля расширения MDM SSO брокер возвращает как токен доступа, так и токен обновления вызывающему приложению. Вызывающее приложение использует маркер обновления для последующих обновлений, и этот маркер обновления не будет защищен.
• управляемый macOS/iOS: на устройствах с профилем расширения единого входа MDM посредник возвращает только токен доступа вызывающему приложению. Брокер использует PRT для любого последующего обновления маркера и не использует незащищенный маркер обновления. Мы рекомендуем клиентам использовать эту конфигурацию по сравнению с неуправляемой из-за дополнительной защиты, которая предоставляется.

• Брокер передает маркер доступа только вызывающему приложению и сохраняет маркер обновления приложения в локальном хранилище как для управляемых, так и неуправляемых устройств.

• В Linux брокер возвращает токен доступа только вызывающему приложению и сохраняет токены обновления локально для управляемых и неуправляемых устройств.
• Локальные токены обновления шифруются с помощью ключа шифрования, хранящегося в ключнице входа пользователя UNIX.

• В Windows 10 или более поздней версии Идентификатор Microsoft Entra поддерживает одноразовый вход в браузере встроено в Microsoft Edge, в Google Chrome через встроенную функцию или расширение и в Mozilla Firefox версии 91+ с помощью настройки браузера.

• Когда пользователь инициирует взаимодействие с браузером, браузер (или расширение) вызывает API платформы. Расширение вызывает этот API через собственный узел обмена сообщениями. API гарантирует, что страница находится из одного из разрешенных доменов. Браузер отправляет полную строку запроса, которая включает в себя nonce. API платформы создает PRT и заголовок устройства, которые подписаны ключами, защищенными с помощью TPM. Заголовок PRT подписан сессионным ключом, а заголовок устройства - ключом устройства, поэтому его трудно подделать. Эти заголовки включены во все запросы Microsoft Entra ID для проверки устройства, от которого поступает запрос, и пользователя. После проверки этих заголовков идентификатор Microsoft Entra выдает файл cookie сеанса в браузере. Этот файл cookie сеанса также содержит тот же ключ сеанса или ключ устройства, которые используются для подписывания запроса. Во время последующих запросов сеансовый ключ проверяется, эффективно привязывая файл cookie к устройству, что предотвращает повторное использование с другого устройства.

Safari и Microsoft Edge с профилем расширения SSO будут иметь cookie, защищенные сессионным ключом PRT. Microsoft Edge требует, чтобы пользователь вошел в профиль Microsoft Edge. Файлы cookie не защищены без профиля расширения SSO (единого входа).

Во время интерактивного входа в систему создается cookie для единого входа в браузере (с использованием PRT и ключа сеанса, который находится в управляемом хранилище учетной записи Android). Применимо только к браузеру Microsoft Edge, и пользователь должен войти в систему.

Microsoft Edge на Linux может запросить у брокера файл cookie браузера для SSO, чтобы включить единую авторизацию в Microsoft Edge. Брокер создает куки SSO, используя PRT и ключ сеанса, которые хранятся соответственно в контексте брокера пользователя и устройства, чтобы вернуть созданные куки в Microsoft Edge. Microsoft Edge требует, чтобы пользователь вошел в профиль. Теоретически приложения, отличные от Microsoft Edge, также могут запрашивать этот файл cookie от Брокера, так как на платформе Linux нет удостоверения приложения. Граница безопасности ОС находится вокруг пользователя UNIX, и только приложения в том же контексте пользователя могут получить файл cookie единого входа для пользователя в этом контексте.

• Войдите с помощью Windows Hello для бизнеса: Windows Hello для бизнеса заменяет пароли и использует криптографические ключи для обеспечения строгой двухфакторной проверки подлинности. Windows Hello для бизнеса относится к конкретному пользователю на устройстве, и для его настройки требуется многофакторная аутентификация. Когда пользователь входит в систему с помощью Windows Hello для бизнеса, PRT пользователя получает подтверждение MFA. Этот сценарий также относится к пользователям, выполняющих вход при помощи смарт-карт, если проверка подлинности смарт-карты создает утверждение MFA из ADFS.
  • Так как Windows Hello для бизнеса считается многофакторной аутентификацией, утверждение MFA обновляется при обновлении PRT, поэтому срок действия MFA будет постоянно продлеваться при входе пользователей с помощью Windows Hello для бизнеса.
• MFA во время интерактивного входа WAM: во время запроса токена через WAM, если пользователю требуется выполнить MFA для доступа к приложению, PRT, который обновляется во время этого взаимодействия, отмечается с утверждением MFA.
  • В этом случае утверждение многофакторной аутентификации (MFA) не обновляется постоянно, поэтому длительность MFA зависит от срока службы, заданного в каталоге.
  • Когда для доступа к приложению используется предыдущий PRT и RT, PRT и RT считаются первым подтверждением проверки подлинности. Требуется новый RT с вторым подтверждением и заявлением MFA. Этот процесс также выдаёт новый PRT и RT.
• Windows 10 и более поздние версии поддерживают разделенный список PRT для каждой учетной записи. Таким образом, существует PRT для каждого из следующих: Windows Hello для бизнеса, пароля или смарт-карты. Секционирование гарантирует, что утверждения MFA будут изолированы в зависимости от используемых учетных данных и не смешиваются во время запросов токенов.

Если политики ЦС были заданы администратором, пользователю необходимо выполнить многофакторную аутентификацию. В этих случаях PRT будет модернизирован и получит статус MFA. Длительность заявления определяется установленным сроком службы в каталоге.