다음을 통해 공유

Azure 네트워크 연결 도메인 자격 증명 수명 주기

  • 아티클

Microsoft Entra 하이브리드 조인 유형을 사용하여 ANC(Azure 네트워크 연결)를 만드는 경우 온-프레미스 도메인 자격 증명 정보를 포함해야 합니다. 이 요구 사항을 통해 ANC는 온-프레미스 리소스와 통신할 수 있습니다.

이 문서에서는 Windows 365 전체 Microsoft Entra 하이브리드 조인 ANC 수명 주기 동안 온-프레미스 도메인 자격 증명을 보호하고 관리하는 방법을 설명합니다.

  1. 자격 증명 제공
  2. 자격 증명 암호화
  3. 자격 증명 업데이트
  4. 자격 증명 제거

Microsoft Entra 도메인 자격 증명 제공

ANC를 만들 때 클라우드 PC를 도메인에 가입하는 데 사용할 온-프레미스 Active Directory 사용자 계정의 자격 증명을 제공해야 합니다. AD 도메인 페이지에서 온-프레미스 사용자 계정의 사용자 이름 및 도메인 암호를 포함하여 이 정보를 제공합니다.

AD 도메인 페이지의 스크린샷.

도메인 암호 정보 암호화

ANC를 만들면 연결된 정보가 Windows 365 서비스에 저장됩니다. Windows 365 서비스는 도메인 암호 정보를 저장하기 전에 잘 보호된 키로 암호화합니다. 암호화 세부 정보는 다음과 같습니다.

  • 암호화 유형: Azure Key Vault 인증서
  • 키 유형: RSA-HSM
  • 알고리즘: RSAOAEP256

자동화된 암호화 단계는 다음과 같이 진행됩니다.

  1. Windows 365 서비스는 해당 테넌트 관련 기존 대칭 키에 대해 서비스를 확인합니다.
  2. 키가 없거나 만료된 경우 Windows 365 난수 생성기를 사용하여 이 테넌트의 새 대칭 키를 생성합니다. 키는 테넌트별로 만들어집니다.
  3. 이 테넌트의 키가 이미 있는 경우 다음 단계에서 사용됩니다.
  4. (신규 또는 기존) 테넌트 키를 가져온 후 Windows 365 Windows 365 전용 Enterprise CA 발급 인증서를 사용하여 키를 해독합니다.
  5. 이 인증서는 Microsoft에서 관리하는 Azure Key Vault instance 저장됩니다.
  6. Windows 365 서비스는 암호 해독된 테넌트 키를 사용하여 암호를 암호화합니다.
  7. 암호화된 암호는 Windows 365 서비스에 저장됩니다.

인증서 Windows 365 Enterprise

Windows 365 서비스 엔터프라이즈 인증서는 Azure Key Vault 의해 자동으로 생성되고 갱신됩니다. 이 인증서는 1년 후에 만료됩니다. Windows 365 서비스는 인증서의 상태 정기적으로 확인합니다. 만료 날짜 3개월 전에 Windows 365 서비스가 새 인증서를 자동으로 다시 생성합니다. 새 인증서가 생성되면 Windows 365 서비스에서 테넌트 키를 다시 암호화하는 데 사용됩니다.

암호 암호화/암호 해독 알고리즘

Windows 365 RFC 7366에 설명된 대로 테넌트별 키를 사용하여 도메인 자격 증명을 암호화하는 암호화-다음 MAC 접근 방식을 사용합니다. 데이터 암호화 및 암호 해독에 동일한 키가 사용됩니다.

암호화 알고리즘 세부 정보는 다음과 같습니다.

  • 암호화 알고리즘: 대칭 키를 Standard 고급 암호화
  • 암호 모드: 암호 블록 체인
  • 키 길이: 256비트
  • 유효한 키 기간: 12개월
  • 인증 알고리즘: HMACSHA256

자격 증명 정보 업데이트

자격 증명은 종종 변경되고 업데이트가 필요합니다. Windows 365 ANC와 연결된 온-프레미스 Active Directory 사용자 계정의 자격 증명 변경 내용을 사전에 검색하지 않습니다. 대신 Windows 365 고객이 업데이트된 자격 증명 정보로 ANC를 수동으로 업데이트합니다.

ANC와 연결된 사용자 계정의 도메인 자격 증명이 변경되면 Windows 365 관리자가 새 자격 증명을 수동으로 업데이트해야 합니다. 그러면 새 자격 증명이 자동으로 다시 암호화되고 Windows 365 서비스에서 업데이트됩니다.

참고

온-프레미스 Active Directory 환경에서 도메인 자격 증명이 변경되었지만 ANC를 수동으로 업데이트하지 않으면 Windows 365 ANC 상태 검사에 이전 자격 증명을 계속 사용합니다. 따라서 레코드의 자격 증명이 더 이상 유효하지 않으므로 이러한 상태 검사가 실패합니다. 이러한 오류가 발생하지 않도록 하려면 새 자격 증명으로 Azure 네트워크 연결 구성을 즉시 업데이트합니다.

자격 증명 정보 제거

ANC를 삭제하면 ANC와 관련된 모든 데이터가 즉시 영구적으로 Windows 365 서비스에서 제거됩니다.

ANC를 삭제하지 않고 테넌트 계정이 비활성화되면 자격 증명 정보는 29일 동안 유지됩니다. 테넌트가 29일 이내에 다시 활성화되면 ANC 및 도메인 자격 증명이 복원됩니다. 테넌트가 29일 이내에 다시 활성화되지 않으면 자격 증명을 포함한 모든 ANC 및 관련 정보가 영구적으로 제거됩니다.

다음 단계

Azure 네트워크 연결을 만듭니다.