Def :

Un PRT est un token primordial dans l'authentification sur Windows (10 ou plus), Windows Serer, Android, ISO (donc pas Linux).
C'est un JSON WEB Token qui est donné par Microsoft à un device pour l'authentifier.

Fonctionnement :

Le PRT contient plusieurs choses à savoir :

• Device ID : Cet ID est unique et correspond à un utilisateur uniquement. Il est aussi utilisé pour du conditionnal access.
• Session key : C'est une clé simétrique générée par MEID authentication service. C'est une preuve de possession du token

Comment obtient-on un PRT ?

Durant l'enregistrement d'un appareil, deux composants cryptographiques sont générés :

• Device Key : dkpub/dkpriv
• Transport Key : tkpub/tkpriv
  
  (shéma d'enregistrement d'un appareil)
  Les clés privées sont stockées sur l'appareil tandis que les clés publiques sont stockées chez Microsoft.
  Elles permettent de vérifier la légitimité lors d'une requête de PRT.

Il y a deux cas d'obtention d'un PRT :

• MEID joined ou hybrid joined : un PRT est donnée pendant qu'un utilisateur se connecte avec les creds de l'entreprise.
• MEID registered device : un PRT est donné lors de l'ajout d'un second compte de travail sur leur appareil windows 10 ou plus.

Quel est la durée de vie d'un PRT ?

Un prt a une durée de vie de 14j et est renouvelé tant que l'utilisateur utilise l'appareil

Shémas de l'utilisation globale d'un PRT :

Attribution d'un PRT pendant la première connexion :

Renouvellement d'un PRT durant les login suivants :

SSO sur navigateur avec un PRT :