Dela via

Livscykel för autentiseringsuppgifter för Azure-nätverksanslutningsdomän

  • Artikel

När du skapar en Azure-nätverksanslutning (ANC) med hjälp av en Microsoft Entra hybridanslutningstyp måste du inkludera information om lokala domänautentiseringsuppgifter. Det här kravet gör det möjligt för ANC att kommunicera med dina lokala resurser.

Den här artikeln beskriver hur Windows 365 skyddar och hanterar autentiseringsuppgifterna för den lokala domänen under hela Microsoft Entra hybridanslutnings-ANC-livscykel:

  1. Ange autentiseringsuppgifter
  2. Kryptera autentiseringsuppgifter
  3. Uppdatera autentiseringsuppgifter
  4. Ta bort autentiseringsuppgifter

Ange autentiseringsuppgifter för Microsoft Entra domän

När du skapar en ANC måste du ange autentiseringsuppgifter för ett lokal Active Directory användarkonto som ska användas för domänanslutning till molndatorer. Du anger den här informationen, inklusive det lokala användarkontots användarnamn och domänlösenord, på AD-domänsidan:

Skärmbild av AD-domänsidan.

Kryptering av information om domänlösenord

När en ANC skapas lagras information som är associerad med den i Windows 365-tjänsten. Tjänsten Windows 365 krypterar domänlösenordsinformationen med en väl skyddad nyckel innan den sparas. Krypteringsinformation omfattar:

  • Krypteringstyp: Azure Key Vault-certifikat
  • Nyckeltyp: RSA-HSM
  • Algoritm: RSAOAEP256

De automatiserade krypteringsstegen fortsätter på följande sätt:

  1. Windows 365-tjänsten kontrollerar om tjänsten har en befintlig symmetrisk nyckel som är specifik för den klientorganisationen.
  2. Om en nyckel inte finns eller har upphört att gälla genererar Windows 365 en ny symmetrisk nyckel för den här klientorganisationen med hjälp av en slumptalsgenerator. Nycklar skapas per klientorganisation.
  3. Om det redan finns en nyckel för den här klientorganisationen används den i följande steg.
  4. När du har hämtat (ny eller befintlig) klientnyckel dekrypterar Windows 365 nyckeln med det Windows 365 dedikerade certifikatutfärdarcertifikatet för företagscertifikatutfärdare.
  5. Det här certifikatet lagras i Azure Key Vault-instansen som hanteras av Microsoft.
  6. Windows 365-tjänsten krypterar lösenordet med den dekrypterade klientnyckeln.
  7. Det krypterade lösenordet sparas i Windows 365-tjänsten.

Windows 365 Enterprise certifikat

Windows 365 företagscertifikat för tjänsten genereras och förnyas automatiskt av Azure Key Vault. Certifikatet upphör att gälla efter ett år. Windows 365-tjänsten kontrollerar regelbundet certifikatets status. Tre månader före förfallodatumet återskapar Windows 365-tjänsten automatiskt ett nytt certifikat. När det nya certifikatet har genererats används det av Windows 365-tjänsten för att kryptera klientnycklarna igen.

Algoritm för lösenordskryptering/dekryptering

Windows 365 använder en krypteringsbaserad MAC-metod för att kryptera domänautentiseringsuppgifterna med per klientnyckel enligt beskrivningen i RFC 7366. Samma nyckel används för både kryptering och dekryptering av data.

Information om krypteringsalgoritmen omfattar:

  • Kryptera algoritm: Advanced Encryption Standard symmetrisk nyckel
  • Chifferläge: Chifferblockering
  • Nyckellängd: 256 bitar
  • Giltig nyckelperiod: 12 månader
  • Autentiseringsalgoritm: HMACSHA256

Uppdatera information om autentiseringsuppgifter

Autentiseringsuppgifter ändras ofta och behöver uppdateras. Windows 365 identifierar inte proaktivt ändringar av autentiseringsuppgifter för lokal Active Directory användarkonto som är associerat med ANC. I stället förlitar sig Windows 365 på att kunderna manuellt uppdaterar ANC med den uppdaterade informationen om autentiseringsuppgifter.

När det sker en ändring av domänautentiseringsuppgifterna för användarkontot som är associerat med en ANC bör den nya autentiseringsuppgiften uppdateras manuellt av Windows 365-administratören. Den nya autentiseringsuppgiften krypteras och uppdateras sedan automatiskt i Windows 365-tjänsten.

Obs!

Om domänautentiseringsuppgifterna ändras i din lokal Active Directory miljö, men du inte uppdaterar ANC manuellt, använder Windows 365 fortfarande de gamla autentiseringsuppgifterna för ANC-hälsokontroller. Därför misslyckas dessa hälsokontroller eftersom autentiseringsuppgifterna för posten inte längre är giltiga. För att säkerställa att sådana fel inte inträffar uppdaterar du konfigurationen av Azure-nätverksanslutningen med de nya autentiseringsuppgifterna omedelbart.

Ta bort information om autentiseringsuppgifter

När du har tagit bort en ANC tas alla data som är relaterade till ANC omedelbart och permanent bort från Windows 365-tjänsten.

Om klientkontot inaktiveras utan att ta bort ANC behålls autentiseringsinformationen i 29 dagar. Om klientorganisationen återaktiveras inom 29 dagar återställs ANC- och domänautentiseringsuppgifterna. Om klientorganisationen inte återaktiveras på 29 dagar tas alla ANC:er och relaterad information, inklusive autentiseringsuppgifter, bort permanent.

Nästa steg

Skapa en Azure-nätverksanslutning.