次の方法で共有

Azure ネットワーク接続ドメインの資格情報のライフ サイクル

  • [アーティクル]

Microsoft Entra ハイブリッド参加の種類を使用して Azure ネットワーク接続 (ANC) を作成する場合は、オンプレミスのドメイン資格情報を含める必要があります。 この要件により、ANC がオンプレミスのリソースと通信できるようになります。

この記事では、Windows 365ハイブリッド参加 ANC ライフ サイクル全体でオンプレミス ドメイン資格情報を保護および管理Microsoft Entra方法について説明します。

  1. 資格情報の提供
  2. 資格情報の暗号化
  3. 資格情報の更新
  4. 資格情報の削除

ドメイン資格情報Microsoft Entra指定する

ANC を作成するときは、クラウド PC へのドメイン参加に使用するオンプレミスの Active Directory ユーザー アカウントの資格情報を指定する必要があります。 この情報は、オンプレミスのユーザー アカウントのユーザー名とドメイン パスワードなど、AD ドメイン ページで指定します。

AD ドメイン ページのスクリーンショット。

ドメイン パスワード情報の暗号化

ANC が作成されると、それに関連付けられた情報がWindows 365 サービスに格納されます。 Windows 365 サービスは、ドメイン パスワード情報を保存する前に、適切に保護されたキーで暗号化します。 暗号化の詳細は次のとおりです。

  • 暗号化の種類: Azure Key Vault 証明書
  • キーの種類: RSA-HSM
  • アルゴリズム: RSAOAEP256

自動暗号化手順は、次の手順に従います。

  1. Windows 365 サービスは、そのテナントに固有の既存の対称キーがないかサービスをチェックします。
  2. キーが存在しない場合、または有効期限が切れている場合、Windows 365は乱数ジェネレーターを使用して、このテナントの新しい対称キーを生成します。 キーはテナントごとに作成されます。
  3. このテナントにキーが既に存在する場合は、次の手順で使用します。
  4. (新規または既存の) テナント キーを取得した後、Windows 365は、Windows 365専用の Enterprise CA が発行した証明書を使用してキーの暗号化を解除します。
  5. この証明書は、Microsoft によって管理される Azure Key Vault インスタンスに格納されます。
  6. Windows 365 サービスは、暗号化解除されたテナント キーを使用してパスワードを暗号化します。
  7. 暗号化されたパスワードは、Windows 365 サービスに保存されます。

証明書のWindows 365 Enterprise

Windows 365サービスエンタープライズ証明書は、Azure Key Vaultによって自動的に生成および更新されます。 この証明書の有効期限は 1 年後です。 Windows 365 サービスは、証明書の状態を定期的にチェックします。 有効期限の 3 か月前に、Windows 365 サービスによって新しい証明書が自動的に再生成されます。 新しい証明書が生成されると、Windows 365 サービスによってテナント キーを再暗号化するために使用されます。

パスワード暗号化/暗号化解除アルゴリズム

Windows 365では、RFC 7366 で説明されているように、encrypt-then-MAC アプローチを使用してテナントごとのキーを使用してドメイン資格情報を暗号化します。 同じキーは、データの暗号化と暗号化解除の両方に使用されます。

暗号化アルゴリズムの詳細は次のとおりです。

  • 暗号化アルゴリズム: Advanced Encryption Standard 対称キー
  • 暗号モード: 暗号ブロック チェーン
  • キーの長さ: 256 ビット
  • キーの有効期間: 12 か月
  • 認証アルゴリズム: HMACSHA256

資格情報の更新

資格情報は頻繁に変更され、更新が必要です。 Windows 365は、ANC に関連付けられているオンプレミスの Active Directory ユーザー アカウントの資格情報の変更を事前に検出しません。 代わりに、Windows 365は、更新された資格情報を使用して ANC を手動で更新するために顧客に依存しています。

ANC に関連付けられているユーザー アカウントのドメイン資格情報に変更がある場合は、新しい資格情報をWindows 365管理者が手動で更新する必要があります。 新しい資格情報は、Windows 365 サービスで自動的に再暗号化され、更新されます。

注:

ドメイン資格情報がオンプレミスの Active Directory環境で変更されても、手動で ANC を更新しない場合、Windows 365は ANC 正常性チェックに古い資格情報を引き続き使用します。 そのため、レコードの資格情報が無効になるため、これらの正常性チェックは失敗します。 このようなエラーが発生しないようにするには、 Azure ネットワーク接続 の構成を新しい資格情報ですぐに更新します。

資格情報の削除

ANC を削除すると、ANC に関連するすべてのデータが直ちにWindows 365 サービスから完全に削除されます。

ANC を削除せずにテナント アカウントが非アクティブ化された場合、資格情報は 29 日間保持されます。 テナントが 29 日以内に再アクティブ化された場合、ANC とドメインの資格情報が復元されます。 テナントが 29 日以内に再アクティブ化されない場合、資格情報を含むすべての ANC と関連情報は完全に削除されます。

次の手順

Azure ネットワーク接続を作成します