Entra 登録(AAD登録)端末にPRTトークンが配布されるタイミング

2023年12月21日

Entra参加(AAD参加)の場合は、端末にログインした際に、PRTトークンが配布されるが、Entra登録(AAD登録)の場合は、どうなの?と疑問が湧いたので調査してみた。

PRTトークンが配布されるタイミング

結論:AAD 登録 [Microsoft Entra 登録]) はデバイス登録をおこなわれた時にPRTトークンが配布される。

PRT 取得のタイミングは使用されるプラグインにより異なっており、

AAD 登録 [Microsoft Entra 登録]) はデバイス登録をおこなわれた時、

AAD 参加 [Microsot Entra 参加]) では PC ログイン時

に PRT が発行されます。

AAD 登録では “WAM プラグイン"、Hybrid AAD 参加では “CloudAP プラグイン" がプライマリ機関となり、

“WAM プラグイン" ではデバイス登録がおこなわれたタイミングで、"CloudAP プラグイン" では PC ログオン時に PRT が発行される動作となります。

そのため、PC ログオン時の PRT 取得は “CloudAP プラグイン" の動作となりますので、AAD 登録ではこの動作は該当しない。(要は、PCログイン時に、AAD登録したテナントのPRTトークンは配布されない)

上記の内容について公開情報。

Title:プライマリ更新トークン (PRT) と Microsoft Entra ID – Microsoft Entra ID | Microsoft Learn

– PRT はどのようにして発行されますか?

url:https://learn.microsoft.com/ja-jp/entra/identity/devices/concept-primary-refresh-token#how-is-a-prt-issued

///

PRT はどのようにして発行されますか?.

Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済み: PRT は、ユーザーが組織の資格情報を使ってサインインするとき、Windows ログオンの間に発行されます。 PRT は、パスワードや Windows Hello for Business など、Windows 10 以降でサポートされているすべての資格情報と共に発行されます。 このシナリオでは、Microsoft Entra CloudAP プラグインが PRT のプライマリ機関です。

Microsoft Entra 登録済みデバイス: PRT は、ユーザーが Windows 10 以降のデバイスにセカンダリの職場アカウントを追加すると発行されます。

Microsoft Entra 登録済みデバイスのシナリオでは、この Microsoft Entra アカウントで Windows ログオンが発生しないため、Microsoft Entra WAM プラグインが PRT のプライマリ機関です。

///

PRTトークンが更新されるタイミング

https://jpazureid.github.io/blog/azure-active-directory/token-lifetime-2023/

こちらのサイトを見ると、PRTトークンの有効期限は14日と記載されています。

AAD登録のPRTトークンはAAD登録した際に発行されるのだが、14日経過した場合、端末は、どのようにして(どのタイミングで)、新たなPRTトークンを取得できるのでしょうか。

Office アプリによる認証要求が発生した際に更新される

Windows 10 の 1703 (Build 15063.138) 以後のバージョンにて、Office のバージョン 16.0.7967 以後のバージョンを利用する場合、Office は Web Account Manager (WAM) と呼ばれる認証フレームワークを利用します。

“WAM プライグイン" による PRT 更新は、この WAM を使用して認証をおこなわれた際におこなわれます。

具体的には、Office アプリによる認証要求が発生した際に PRT が有効な状態であれば更新され、PRT が失効している状態であれば再認証が要求された後に再発行される動作が想定されます。

Officeアプリによる認証要求が発生するタイミング

Office アプリがアクセストークンを使用して非対話型の認証をバックグラウンドで行われている。そのため、PRTトークンを保有していれば、定期的に自動的に(ユーザが意識しないバックグラウンドの処理にて)更新され、PRTトークンが失効している状態で、Office アプリによる認証要求に対して、対話型または非対話型で、認証が完了し、アクセストークンが更新された場合、PRTトークンも自動的(ユーザが意識しないバックグラウンドの処理にて)に発行されます。

(追記)アクセストークン/更新トークンが発行されるタイミング(Entra登録時にPRTトークンと同時に、アクセストークン/更新トークンも発行される?)

Microsoft Entra 登録されたタイミングではリソースへアクセスするためのアクセス トークンなどは発行されません。このタイミングでは PRT が発行されます。

クライアント アプリからリソースへのアクセスが発生し、リソースからクライアント アプリに対して Microsoft Entra ID のトークンが要求されたタイミングで PRT が利用されてアクセス トークンなどが発行されます。

Azure,Entra

Posted by mitsuru