Udostępnij za pośrednictwem

Cykl życia poświadczeń domeny połączenia sieciowego platformy Azure

  • Artykuł

Podczas tworzenia połączenia sieciowego platformy Azure (ANC) przy użyciu Microsoft Entra typu sprzężenia hybrydowego należy uwzględnić informacje o poświadczeniach domeny lokalnej. To wymaganie umożliwia usłudze ANC komunikowanie się z zasobami lokalnymi.

W tym artykule opisano, jak Windows 365 chroni poświadczenia domeny lokalnej i zarządza nimi w całym cyklu życia dołączania hybrydowego Microsoft Entra anc:

  1. Podawanie poświadczeń
  2. Szyfrowanie poświadczeń
  3. Aktualizowanie poświadczeń
  4. Usuwanie poświadczeń

Podaj poświadczenia domeny Microsoft Entra

Podczas tworzenia usługi ANC należy podać poświadczenia konta użytkownika lokalna usługa Active Directory, które będzie używane do dołączania do domeny komputerów w chmurze. Te informacje, w tym nazwę użytkownika i hasło domeny konta użytkownika lokalnego, można podać na stronie domeny usługi AD:

Zrzut ekranu przedstawiający stronę domeny usługi AD.

Szyfrowanie informacji o haśle domeny

Po utworzeniu usługi ANC skojarzone z nią informacje są przechowywane w usłudze Windows 365. Usługa Windows 365 szyfruje informacje o haśle domeny przy użyciu dobrze chronionego klucza przed ich zapisaniem. Szczegóły szyfrowania obejmują:

  • Typ szyfrowania: certyfikat usługi Azure Key Vault
  • Typ klucza: RSA-HSM
  • Algorytm: RSAOAEP256

Kroki automatycznego szyfrowania są wykonywane w następujący sposób:

  1. Usługa Windows 365 sprawdza usługę pod kątem istniejącego klucza symetrycznego specyficznego dla tej dzierżawy.
  2. Jeśli klucz nie jest obecny lub wygasł, Windows 365 generuje nowy klucz symetryczny dla tej dzierżawy przy użyciu generatora liczb losowych. Klucze są tworzone dla dzierżawy.
  3. Jeśli klucz już istnieje dla tej dzierżawy, jest używany w poniższych krokach.
  4. Po pobraniu (nowego lub istniejącego) klucza dzierżawy Windows 365 odszyfrowuje klucz przy użyciu certyfikatu wystawionego przez dedykowany urząd certyfikacji przedsiębiorstwa Windows 365.
  5. Ten certyfikat jest przechowywany w wystąpieniu usługi Azure Key Vault zarządzanym przez firmę Microsoft.
  6. Windows 365 usługa szyfruje hasło przy użyciu odszyfrowanego klucza dzierżawy.
  7. Zaszyfrowane hasło jest zapisywane w usłudze Windows 365.

certyfikaty Windows 365 Enterprise

Windows 365 certyfikaty przedsiębiorstwa usługi są generowane i odnawiane automatycznie przez usługę Azure Key Vault. Ten certyfikat wygasa po roku. Usługa Windows 365 regularnie sprawdza stan certyfikatu. Na trzy miesiące przed datą wygaśnięcia usługa Windows 365 automatycznie ponownie generuje nowy certyfikat. Po wygenerowaniu nowego certyfikatu jest on używany przez usługę Windows 365 do ponownego szyfrowania kluczy dzierżawy.

Algorytm szyfrowania/odszyfrowywania haseł

Windows 365 używa podejścia szyfrowania i szyfrowania mac do szyfrowania poświadczeń domeny przy użyciu klucza dzierżawy zgodnie z opisem w dokumencie RFC 7366. Ten sam klucz jest używany zarówno do szyfrowania, jak i odszyfrowywania danych.

Szczegóły algorytmu szyfrowania obejmują:

  • Algorytm szyfrowania: klucz symetryczny standardu szyfrowania zaawansowanego
  • Tryb szyfrowania: Łańcuch bloków szyfrów
  • Długość klucza: 256-bitowa
  • Okres ważności klucza: 12 miesięcy
  • Algorytm uwierzytelniania: HMACSHA256

Aktualizowanie informacji o poświadczeniach

Poświadczenia często się zmieniają i wymagają aktualizacji. Windows 365 nie wykrywa proaktywnie zmian poświadczeń lokalna usługa Active Directory konta użytkownika skojarzonego z usługą ANC. Zamiast tego Windows 365 polega na klientach, aby ręcznie zaktualizować anc ze zaktualizowanymi informacjami o poświadczeniach.

W przypadku zmiany poświadczeń domeny konta użytkownika skojarzonego z usługą ANC nowe poświadczenia powinny zostać ręcznie zaktualizowane przez administratora Windows 365. Nowe poświadczenia są następnie automatycznie ponownie szyfrowane i aktualizowane w usłudze Windows 365.

Uwaga

Jeśli poświadczenia domeny zostaną zmienione w środowisku lokalna usługa Active Directory, ale nie zaktualizujesz ręcznie usługi ANC, Windows 365 będzie nadal używać starego poświadczenia do sprawdzania kondycji usługi ANC. W związku z tym te testy kondycji nie powiedzie się, ponieważ poświadczenia w rekordzie nie są już prawidłowe. Aby upewnić się, że takie błędy nie wystąpią, natychmiast zaktualizuj konfigurację połączenia sieciowego platformy Azure przy użyciu nowych poświadczeń.

Usuwanie informacji o poświadczeniach

Po usunięciu usługi ANC wszystkie dane związane z usługą ANC zostaną natychmiast i trwale usunięte z usługi Windows 365.

Jeśli konto dzierżawy jest dezaktywowane bez usuwania usługi ANC, informacje o poświadczeniach są przechowywane przez 29 dni. Jeśli dzierżawa zostanie ponownie aktywowana w ciągu 29 dni, poświadczenia anc i domeny zostaną przywrócone. Jeśli dzierżawa nie zostanie ponownie aktywowana w ciągu 29 dni, wszystkie ancs i powiązane informacje, w tym poświadczenia, zostaną trwale usunięte.

Następne kroki

Utwórz połączenie sieciowe platformy Azure.