Sdílet prostřednictvím

Životní cyklus přihlašovacích údajů domény síťového připojení Azure

  • Článek

Když vytváříte síťové připojení Azure (ANC) pomocí typu Microsoft Entra hybridního připojení, musíte zahrnout informace o přihlašovacích údajích místní domény. Tento požadavek umožňuje, aby ANC komunikovat s vašimi místními prostředky.

Tento článek popisuje, jak Windows 365 chrání a spravuje přihlašovací údaje místní domény během celého životního cyklu Microsoft Entra anc hybridního připojení:

  1. Zadání přihlašovacích údajů
  2. Šifrování přihlašovacích údajů
  3. Aktualizují se přihlašovací údaje.
  4. Odebrání přihlašovacích údajů

Zadání přihlašovacích údajů Microsoft Entra domény

Když vytváříte ANC, musíte zadat přihlašovací údaje místní Active Directory uživatelského účtu, který se použije pro připojení ke cloudovým počítačům s doménou. Tyto informace, včetně uživatelského jména a hesla domény místního uživatelského účtu, zadáte na stránce domény AD:

Snímek obrazovky se stránkou domény AD

Šifrování informací o heslech domény

Při vytvoření ANC se informace k němu přidružené ukládají do služby Windows 365. Služba Windows 365 před uložením zašifruje informace o hesle domény pomocí dobře chráněného klíče. Mezi podrobnosti šifrování patří:

  • Typ šifrování: Certifikát Azure Key Vault
  • Typ klíče: RSA-HSM
  • Algoritmus: RSAOAEP256

Kroky automatizovaného šifrování probíhají takto:

  1. Služba Windows 365 zkontroluje existující symetrický klíč specifický pro daného tenanta.
  2. Pokud klíč neexistuje nebo vypršela jeho platnost, vygeneruje Windows 365 nový symetrický klíč pro tohoto tenanta pomocí generátoru náhodných čísel. Klíče se vytvářejí pro jednotlivé tenanty.
  3. Pokud už klíč pro tohoto tenanta existuje, použije se v následujících krocích.
  4. Po získání (nového nebo existujícího) klíče tenanta Windows 365 klíč dešifruje pomocí certifikátu vydaného Windows 365 vyhrazené certifikační autority Organizace.
  5. Tento certifikát je uložený v instanci Azure Key Vault spravované Microsoftem.
  6. Windows 365 služba heslo zašifruje pomocí dešifrovaného klíče tenanta.
  7. Šifrované heslo se uloží do služby Windows 365.

Windows 365 Enterprise certifikátů

Windows 365 podnikové certifikáty služby se automaticky generují a obnovují Key Vault Azure. Platnost tohoto certifikátu vyprší po jednom roce. Služba Windows 365 pravidelně kontroluje stav certifikátu. Tři měsíce před datem vypršení platnosti služba Windows 365 automaticky znovu vygeneruje nový certifikát. Po vygenerování nového certifikátu ho služba Windows 365 použije k opětovnému šifrování klíčů tenanta.

Algoritmus šifrování/dešifrování hesel

Windows 365 používá k šifrování přihlašovacích údajů domény pomocí klíče pro jednotlivé tenanty přístup encrypt-then-MAC, jak je popsáno v dokumentu RFC 7366. Stejný klíč se používá k šifrování i dešifrování dat.

Mezi podrobnosti šifrovacího algoritmu patří:

  • Algoritmus šifrování: Advanced Encryption Standard symmetric-key
  • Režim šifrování: Řetězení bloků šifer
  • Délka klíče: 256 bitů
  • Platné období klíče: 12 měsíců
  • Algoritmus ověřování: HMACSHA256

Aktualizace informací o přihlašovacích údaji

Přihlašovací údaje se často mění a je potřeba je aktualizovat. Windows 365 proaktivně nezjistí změny přihlašovacích údajů uživatelského účtu místní Active Directory přidruženého k ANC. Místo toho Windows 365 spoléhá na to, že zákazníci ručně aktualizují ANC aktualizovanými informacemi o přihlašovacích údajích.

Pokud dojde ke změně přihlašovacích údajů domény uživatelského účtu přidruženého k ANC, měl by nové přihlašovací údaje ručně aktualizovat správce Windows 365. Nové přihlašovací údaje se pak automaticky znovu zašifrují a aktualizují ve službě Windows 365.

Poznámka

Pokud se přihlašovací údaje domény ve vašem prostředí místní Active Directory změní, ale ručně neaktualizujete ANC, Windows 365 bude pro kontroly stavu ANC dál používat staré přihlašovací údaje. Proto tyto kontroly stavu selžou, protože zaznamenaná pověření už nejsou platná. Abyste měli jistotu, že k takovým selháním nedojde, aktualizujte okamžitě konfiguraci síťového připojení Azure pomocí nových přihlašovacích údajů.

Odebrání informací o přihlašovacích údaji

Po odstranění ANC se okamžitě a trvale odeberou všechna data související s ANC ze služby Windows 365.

Pokud se účet tenanta deaktivuje bez odstranění ANC, informace o přihlašovacích údaji se uchovávají po dobu 29 dnů. Pokud se tenant znovu aktivuje do 29 dnů, obnoví se přihlašovací údaje ANC a domény. Pokud se tenant do 29 dnů znovu neaktivuje, všechny anc a související informace, včetně přihlašovacích údajů, se trvale odeberou.

Další kroky

Vytvořte síťové připojení Azure.