Partager via

Cycle de vie des informations d’identification de domaine de connexion réseau Azure

  • Article

Lorsque vous créez une connexion réseau Azure (ANC) à l’aide d’un type de jointure hybride Microsoft Entra, vous devez inclure des informations d’identification de domaine local. Cette exigence permet à l’ANC de communiquer avec vos ressources locales.

Cet article décrit comment Windows 365 protège et gère les informations d’identification de domaine local pendant l’ensemble du cycle de vie Microsoft Entra jointure hybride ANC :

  1. Fourniture d’informations d’identification
  2. Chiffrement des informations d’identification
  3. Mise à jour des informations d’identification
  4. Suppression des informations d’identification

Fournir des informations d’identification de domaine Microsoft Entra

Lorsque vous créez un ANC, vous devez fournir les informations d’identification d’un compte d’utilisateur Active Directory local qui sera utilisé pour joindre des PC cloud à un domaine. Vous fournissez ces informations, notamment le nom d’utilisateur et le mot de passe de domaine du compte d’utilisateur local, dans la page domaine AD :

Capture d’écran de la page domaine AD.

Chiffrement des informations de mot de passe de domaine

Lorsqu’un ANC est créé, les informations qui lui sont associées sont stockées dans le service Windows 365. Le service Windows 365 chiffre les informations de mot de passe de domaine avec une clé bien protégée avant de les enregistrer. Les détails du chiffrement sont les suivants :

  • Type de chiffrement : certificat Azure Key Vault
  • Type de clé : RSA-HSM
  • Algorithme : RSAOAEP256

Les étapes de chiffrement automatisé se déroulent comme suit :

  1. Le service Windows 365 recherche dans le service une clé symétrique existante spécifique à ce locataire.
  2. Si une clé n’est pas présente ou a expiré, Windows 365 génère une nouvelle clé symétrique pour ce locataire à l’aide d’un générateur de nombres aléatoires. Les clés sont créées par locataire.
  3. Si une clé existe déjà pour ce locataire, elle est utilisée dans les étapes suivantes.
  4. Après avoir obtenu la clé de locataire (nouvelle ou existante), Windows 365 déchiffre la clé avec le certificat d’autorité de certification d’entreprise Windows 365 dédié émis.
  5. Ce certificat est stocké dans le Key Vault instance Azure géré par Microsoft.
  6. Windows 365 service chiffre le mot de passe avec la clé de locataire déchiffrée.
  7. Le mot de passe chiffré est enregistré dans le service Windows 365.

certificats Windows 365 Entreprise

les certificats d’entreprise Windows 365 service sont générés et renouvelés automatiquement par le Key Vault Azure. Ce certificat expire au bout d’un an. Le service Windows 365 vérifie régulièrement la status du certificat. Trois mois avant la date d’expiration, le service Windows 365 régénère automatiquement un nouveau certificat. Une fois le nouveau certificat généré, il est utilisé par le service Windows 365 pour chiffrer à nouveau les clés de locataire.

Algorithme de chiffrement/déchiffrement de mot de passe

Windows 365 utilise une approche encrypt-then-MAC pour chiffrer les informations d’identification de domaine avec la clé par locataire, comme décrit dans RFC 7366. La même clé est utilisée pour le chiffrement et le déchiffrement des données.

Les détails de l’algorithme de chiffrement sont les suivants :

  • Algorithme de chiffrement : chiffrement avancé Standard clé symétrique
  • Mode de chiffrement : Cipher-Block-Chaining
  • Longueur de clé : 256 bits
  • Période clé valide : 12 mois
  • Algorithme d’authentification : HMACSHA256

Mise à jour des informations d’identification

Les informations d’identification changent souvent et doivent être mises à jour. Windows 365 ne détecte pas de manière proactive les modifications des informations d’identification du compte d’utilisateur Active Directory local associé à ANC. Au lieu de cela, Windows 365 s’appuie sur les clients pour mettre à jour manuellement l’ANC avec les informations d’identification mises à jour.

En cas de modification des informations d’identification de domaine du compte d’utilisateur associé à un ANC, les nouvelles informations d’identification doivent être mises à jour manuellement par l’administrateur Windows 365. Les nouvelles informations d’identification sont ensuite automatiquement rechiffrées et mises à jour dans le service Windows 365.

Remarque

Si les informations d’identification de domaine sont modifiées dans votre environnement de Active Directory local, mais que vous ne mettez pas à jour manuellement l’ANC, Windows 365 utiliserez toujours les anciennes informations d’identification pour les vérifications d’intégrité ANC. Par conséquent, ces vérifications d’intégrité échouent, car les informations d’identification enregistrées ne sont plus valides. Pour vous assurer que de tels échecs ne se produisent pas, mettez à jour immédiatement la configuration de la connexion réseau Azure avec les nouvelles informations d’identification.

Suppression des informations d’identification

Une fois que vous avez supprimé un ANC, toutes les données associées à l’ANC sont immédiatement et définitivement supprimées du service Windows 365.

Si le compte de locataire est désactivé sans supprimer l’ANC, les informations d’identification sont conservées pendant 29 jours. Si le locataire est réactivé dans un délai de 29 jours, les informations d’identification ANC et de domaine sont restaurées. Si le locataire n’est pas réactivé dans les 29 jours, tous les anC et les informations associées, y compris les informations d’identification, sont définitivement supprimés.

Étapes suivantes

Créez une connexion réseau Azure.