Freigeben über

Lebenszyklus von Anmeldeinformationen für Azure-Netzwerkverbindungsdomänen

  • Artikel

Wenn Sie eine Azure-Netzwerkverbindung (ANC) mit einem Microsoft Entra Hybrid join-Typ erstellen, müssen Sie informationen zu lokalen Domänenanmeldeinformationen angeben. Diese Anforderung ermöglicht es dem ANC, mit Ihren lokalen Ressourcen zu kommunizieren.

In diesem Artikel wird beschrieben, wie Windows 365 die Anmeldeinformationen der lokalen Domäne während des gesamten Microsoft Entra Hybrid Join ANC-Lebenszyklus schützt und verwaltet:

  1. Bereitstellen von Anmeldeinformationen
  2. Verschlüsseln von Anmeldeinformationen
  3. Aktualisieren von Anmeldeinformationen
  4. Entfernen von Anmeldeinformationen

Angeben Microsoft Entra Domänenanmeldeinformationen

Wenn Sie einen ANC erstellen, müssen Sie Anmeldeinformationen eines lokales Active Directory Benutzerkontos angeben, das für den Domänenbeitritt zu Cloud-PCs verwendet wird. Sie geben diese Informationen, einschließlich des Benutzernamens und des Domänenkennworts des lokalen Benutzerkontos, auf der Ad-Domänenseite an:

Screenshot der AD-Domänenseite.

Verschlüsselung von Domänenkennwortinformationen

Wenn ein ANC erstellt wird, werden die damit verbundenen Informationen im Windows 365-Dienst gespeichert. Der Windows 365-Dienst verschlüsselt die Domänenkennwortinformationen vor dem Speichern mit einem gut geschützten Schlüssel. Zu den Verschlüsselungsdetails gehören:

  • Verschlüsselungstyp: Azure Key Vault-Zertifikat
  • Schlüsseltyp: RSA-HSM
  • Algorithmus: RSAOAEP256

Die Schritte zur automatisierten Verschlüsselung gehen wie folgt vor:

  1. Der Windows 365-Dienst überprüft den Dienst auf einen vorhandenen symmetrischen Schlüssel, der für diesen Mandanten spezifisch ist.
  2. Wenn kein Schlüssel vorhanden ist oder abgelaufen ist, generiert Windows 365 mithilfe eines Zufallszahlengenerators einen neuen symmetrischen Schlüssel für diesen Mandanten. Schlüssel werden pro Mandant erstellt.
  3. Wenn bereits ein Schlüssel für diesen Mandanten vorhanden ist, wird er in den folgenden Schritten verwendet.
  4. Nach dem Abrufen des (neuen oder vorhandenen) Mandantenschlüssels entschlüsselt Windows 365 den Schlüssel mit dem Windows 365 von der dedizierten Unternehmenszertifizierungsstelle ausgestellten Zertifikat.
  5. Dieses Zertifikat wird in der von Microsoft verwalteten Azure-Key Vault instance gespeichert.
  6. Windows 365 Dienst verschlüsselt das Kennwort mit dem entschlüsselten Mandantenschlüssel.
  7. Das verschlüsselte Kennwort wird im Windows 365-Dienst gespeichert.

Windows 365 Enterprise Zertifikate

Windows 365-Dienst-Unternehmenszertifikate werden automatisch vom Azure-Key Vault generiert und erneuert. Dieses Zertifikat läuft nach einem Jahr ab. Der Windows 365-Dienst überprüft regelmäßig die status des Zertifikats. Drei Monate vor dem Ablaufdatum generiert der Windows 365 Dienst automatisch ein neues Zertifikat neu. Nachdem das neue Zertifikat generiert wurde, wird es vom Windows 365-Dienst verwendet, um die Mandantenschlüssel erneut zu verschlüsseln.

Kennwortverschlüsselungs-/Entschlüsselungsalgorithmus

Windows 365 verwendet einen Encrypt-then-MAC-Ansatz, um die Domänenanmeldeinformationen mit dem Schlüssel pro Mandant zu verschlüsseln, wie in RFC 7366 beschrieben. Derselbe Schlüssel wird sowohl für die Verschlüsselung als auch für die Entschlüsselung der Daten verwendet.

Zu den Details des Verschlüsselungsalgorithmus gehören:

  • Verschlüsselungsalgorithmus: Advanced Encryption Standard symmetrischer Schlüssel
  • Verschlüsselungsmodus: Cipher-Block-Chaining
  • Schlüssellänge: 256 Bit
  • Gültiger Schlüsselzeitraum: 12 Monate
  • Authentifizierungsalgorithmus: HMACSHA256

Aktualisieren von Anmeldeinformationen

Anmeldeinformationen ändern sich häufig und müssen aktualisiert werden. Windows 365 erkennt keine änderungen der Anmeldeinformationen des lokales Active Directory Benutzerkontos, das ANC zugeordnet ist. Stattdessen ist Windows 365 darauf angewiesen, dass Kunden den ANC manuell mit den aktualisierten Anmeldeinformationen aktualisieren.

Wenn die Domänenanmeldeinformationen des Benutzerkontos geändert werden, das einem ANC zugeordnet ist, sollten die neuen Anmeldeinformationen vom Windows 365 Administrator manuell aktualisiert werden. Die neuen Anmeldeinformationen werden dann automatisch erneut verschlüsselt und im Windows 365 Dienst aktualisiert.

Hinweis

Wenn die Domänenanmeldeinformationen in Ihrer lokales Active Directory-Umgebung geändert werden, Sie den ANC jedoch nicht manuell aktualisieren, verwenden Windows 365 weiterhin die alten Anmeldeinformationen für ANC-Integritätsprüfungen. Daher schlagen diese Integritätsprüfungen fehl, da die Anmeldeinformationen im Datensatz nicht mehr gültig sind. Um sicherzustellen, dass solche Fehler nicht auftreten, aktualisieren Sie die Azure-Netzwerkverbindungskonfiguration sofort mit den neuen Anmeldeinformationen.

Entfernen von Anmeldeinformationen

Nachdem Sie einen ANC gelöscht haben, werden alle Daten im Zusammenhang mit dem ANC sofort und dauerhaft aus dem Windows 365 Dienst entfernt.

Wenn das Mandantenkonto deaktiviert wird, ohne den ANC zu löschen, werden die Anmeldeinformationen 29 Tage lang aufbewahrt. Wenn der Mandant innerhalb von 29 Tagen reaktiviert wird, werden die ANC- und Domänenanmeldeinformationen wiederhergestellt. Wenn der Mandant in 29 Tagen nicht reaktiviert wird, werden alle ANCs und zugehörigen Informationen, einschließlich Anmeldeinformationen, dauerhaft entfernt.

Nächste Schritte

Erstellen Sie eine Azure-Netzwerkverbindung.