Ciclo de vida de credenciales de dominio de conexión de red de Azure
Al crear una conexión de red de Azure (ANC) mediante un tipo de combinación híbrida Microsoft Entra, debe incluir información de credenciales de dominio local. Este requisito permite que la ANC se comunique con los recursos locales.
En este artículo se describe cómo Windows 365 protege y administra las credenciales de dominio local durante todo el ciclo de vida de la unión híbrida Microsoft Entra ANC:
- Proporcionar credenciales
- Cifrado de credenciales
- Actualización de credenciales
- Eliminación de credenciales
Proporcionar credenciales de dominio Microsoft Entra
Al crear un ANC, debe proporcionar credenciales de una cuenta de usuario Active Directory local que se usará para unir equipos en la nube a un dominio. Proporcione esta información, incluida la contraseña de dominio y el nombre de usuario de la cuenta de usuario local, en la página dominio de AD:
Cifrado de la información de contraseña de dominio
Cuando se crea un ANC, la información asociada a ella se almacena en el servicio Windows 365. El servicio Windows 365 cifra la información de contraseña de dominio con una clave bien protegida antes de guardarlo. Los detalles de cifrado incluyen:
- Tipo de cifrado: certificado de Azure Key Vault
- Tipo de clave: RSA-HSM
- Algoritmo: RSAOAEP256
Los pasos de cifrado automatizado siguen estos pasos:
- El servicio Windows 365 comprueba si el servicio tiene una clave simétrica existente específica de ese inquilino.
- Si una clave no está presente o ha expirado, Windows 365 genera una nueva clave simétrica para este inquilino mediante un generador de números aleatorios. Las claves se crean por inquilino.
- Si ya existe una clave para este inquilino, se usa en los pasos siguientes.
- Después de obtener la clave de inquilino (nueva o existente), Windows 365 descifra la clave con el Windows 365 certificado emitido por la CA empresarial dedicada.
- Este certificado se almacena en la instancia de Azure Key Vault administrada por Microsoft.
- Windows 365 servicio cifra la contraseña con la clave de inquilino descifrada.
- La contraseña cifrada se guarda en el servicio Windows 365.
certificados de Windows 365 Enterprise
Windows 365 azure Key Vault genera y renueva automáticamente los certificados empresariales de servicio. Este certificado expira después de un año. El servicio Windows 365 comprueba periódicamente el estado del certificado. Tres meses antes de la fecha de expiración, el servicio Windows 365 regenera automáticamente un nuevo certificado. Una vez generado el nuevo certificado, el servicio Windows 365 lo usa para volver a cifrar las claves de inquilino.
Algoritmo de cifrado y descifrado de contraseñas
Windows 365 usa un enfoque encrypt-then-MAC para cifrar la credencial de dominio con la clave por inquilino, como se describe en RFC 7366. La misma clave se usa para cifrar y descifrar los datos.
Los detalles del algoritmo de cifrado incluyen:
- Algoritmo de cifrado: clave simétrica estándar de cifrado avanzado
- Modo de cifrado: Cifrado-encadenamiento de bloques
- Longitud de la clave: 256 bits
- Período válido clave: 12 meses
- Algoritmo de autenticación: HMACSHA256
Actualización de la información de credenciales
Las credenciales a menudo cambian y necesitan actualizarse. Windows 365 no detecta de forma proactiva los cambios de credenciales de la cuenta de usuario Active Directory local asociada a ANC. En su lugar, Windows 365 se basa en los clientes para actualizar manualmente el ANC con la información de credenciales actualizada.
Cuando se produce un cambio en la credencial de dominio de la cuenta de usuario asociada a un ANC, el administrador de Windows 365 debe actualizar manualmente la nueva credencial. A continuación, la nueva credencial se vuelve a cifrar y actualizar automáticamente en el servicio Windows 365.
Nota:
Si la credencial de dominio se cambia en el entorno de Active Directory local, pero no actualiza manualmente el ANC, Windows 365 seguirá usando la credencial anterior para las comprobaciones de estado de ANC. Por lo tanto, estas comprobaciones de estado producirán un error porque las credenciales del registro ya no son válidas. Para asegurarse de que estos errores no se producen, actualice inmediatamente la configuración de conexión de red de Azure con las nuevas credenciales.
Eliminación de la información de credenciales
Después de eliminar un ANC, todos los datos relacionados con el ANC se quitan inmediata y permanentemente del servicio Windows 365.
Si la cuenta de inquilino se desactiva sin eliminar el ANC, la información de credenciales se conserva durante 29 días. Si el inquilino se reactiva en un plazo de 29 días, se restauran las credenciales de ANC y dominio. Si el inquilino no se reactiva en 29 días, todas las ANC y la información relacionada, incluidas las credenciales, se quitan permanentemente.
Siguientes pasos
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de