Azure 网络连接域凭据生命周期

使用Microsoft Entra混合加入类型创建 azure 网络连接 (ANC) 时,必须包含本地域凭据信息。 此要求使 ANC 能够与本地资源通信。

本文介绍如何在整个Microsoft Entra混合加入 ANC 生命周期内Windows 365保护和管理本地域凭据:

  1. 提供凭据
  2. 加密凭据
  3. 更新凭据
  4. 删除凭据

提供Microsoft Entra域凭据

创建 ANC 时,必须提供用于域加入云电脑的本地 Active Directory用户帐户的凭据。 可以在 AD 域页上提供此信息,包括本地用户帐户的用户名和密码:

AD 域页的屏幕截图。

加密域密码信息

创建 ANC 时,与其关联的信息存储在 Windows 365 服务中。 在保存域密码信息之前,Windows 365服务使用保护良好的密钥对其进行加密。 加密详细信息包括:

  • 加密类型:Azure 密钥保管库 证书
  • 密钥类型:RSA-HSM
  • 算法:RSAOAEP256

自动加密步骤将按如下所示进行:

  1. Windows 365服务检查服务中是否存在特定于该租户的现有对称密钥。
  2. 如果密钥不存在或已过期,Windows 365使用随机数生成器为此租户生成新的对称密钥。 密钥按租户创建。
  3. 如果此租户的密钥已存在,则会在以下步骤中使用。
  4. 获取 (新的或现有的) 租户密钥后,Windows 365使用Windows 365专用企业 CA 颁发的证书解密密钥。
  5. 此证书存储在 Microsoft 管理的 Azure 密钥保管库 实例中。
  6. Windows 365服务使用解密的租户密钥加密密码。
  7. 加密的密码将保存到Windows 365服务。

Windows 365 企业版证书

Windows 365服务企业证书由 Azure 密钥保管库自动生成和续订。 此证书在一年后过期。 Windows 365服务会定期检查证书的状态。 在到期日期前三个月,Windows 365服务会自动重新生成新证书。 生成新证书后,Windows 365服务将使用该证书重新加密租户密钥。

密码加密/解密算法

Windows 365使用加密后 MAC 方法使用每个租户密钥加密域凭据,如 RFC 7366 中所述。 同一密钥用于加密和解密数据。

加密算法详细信息包括:

  • 加密算法:高级加密标准对称密钥
  • 密码模式:Cipher-Block-Chaining
  • 密钥长度:256 位
  • 密钥有效期:12 个月
  • 身份验证算法:HMACSHA256

更新凭据信息

凭据经常更改,需要更新。 Windows 365不会主动检测与 ANC 关联的本地 Active Directory用户帐户的凭据更改。 相反,Windows 365依赖于客户使用更新的凭据信息手动更新 ANC。

当与 ANC 关联的用户帐户的域凭据发生更改时,新凭据应由Windows 365管理员手动更新。 然后,新凭据会自动在Windows 365服务中重新加密和更新。

注意

如果在本地 Active Directory环境中更改了域凭据,但未手动更新 ANC,Windows 365仍将使用旧凭据进行 ANC 运行状况检查。 因此,这些运行状况检查将失败,因为记录中的凭据不再有效。 若要确保不会发生此类故障,请立即使用新凭据 更新 Azure 网络连接 配置。

删除凭据信息

删除 ANC 后,与 ANC 相关的所有数据将立即从Windows 365服务中永久删除。

如果在未删除 ANC 的情况下停用租户帐户,凭据信息将保留 29 天。 如果在 29 天内重新激活租户,则会还原 ANC 和域凭据。 如果租户在 29 天内未重新激活,则会永久删除所有 ANC 和相关信息(包括凭据)。

后续步骤

创建 Azure 网络连接