Levenscyclus van domeinreferenties voor Azure-netwerkverbinding
Wanneer u een Azure-netwerkverbinding (ANC) maakt met behulp van een Microsoft Entra hybride jointype, moet u on-premises domeinreferentiegegevens opnemen. Door deze vereiste kan het ANC communiceren met uw on-premises resources.
In dit artikel wordt beschreven hoe Windows 365 de referenties van het on-premises domein beveiligt en beheert tijdens de hele Microsoft Entra anc-levenscyclus voor hybride deelname:
- Referenties opgeven
- Referenties versleutelen
- Referenties bijwerken
- Referenties verwijderen
Geef Microsoft Entra domeinreferenties op
Wanneer u een ANC maakt, moet u referenties opgeven van een on-premises Active Directory gebruikersaccount dat wordt gebruikt om lid te worden van cloud-pc's. U geeft deze informatie, inclusief de gebruikersnaam en het domeinwachtwoord van het on-premises gebruikersaccount, op op de ad-domeinpagina:
Versleuteling van domeinwachtwoordgegevens
Wanneer een ANC wordt gemaakt, wordt de bijbehorende informatie opgeslagen in de Windows 365-service. De Windows 365-service versleutelt de domeinwachtwoordgegevens met een goed beveiligde sleutel voordat u deze opslaat. Versleutelingsgegevens zijn onder andere:
- Versleutelingstype: Azure Key Vault-certificaat
- Sleuteltype: RSA-HSM
- Algoritme: RSAOAEP256
De stappen voor geautomatiseerde versleuteling gaan als volgt:
- De Windows 365-service controleert de service op een bestaande symmetrische sleutel die specifiek is voor die tenant.
- Als een sleutel niet aanwezig is of is verlopen, genereert Windows 365 een nieuwe symmetrische sleutel voor deze tenant met behulp van een generator voor willekeurige getallen. Sleutels worden per tenant gemaakt.
- Als er al een sleutel voor deze tenant bestaat, wordt deze in de volgende stappen gebruikt.
- Nadat u de (nieuwe of bestaande) tenantsleutel hebt opgehaald, ontsleutelt Windows 365 de sleutel met het Windows 365 toegewezen certificaat dat door een ondernemings-CA is uitgegeven.
- Dit certificaat wordt opgeslagen in het Azure Key Vault-exemplaar dat wordt beheerd door Microsoft.
- Windows 365-service versleutelt het wachtwoord met de ontsleutelde tenantsleutel.
- Het versleutelde wachtwoord wordt opgeslagen in de Windows 365 service.
Windows 365 Enterprise certificaten
Windows 365 service enterprise-certificaten worden automatisch gegenereerd en vernieuwd door de Azure Key Vault. Dit certificaat verloopt na één jaar. De Windows 365 service controleert regelmatig de status van het certificaat. Drie maanden vóór de vervaldatum genereert de Windows 365-service automatisch een nieuw certificaat. Nadat het nieuwe certificaat is gegenereerd, wordt het door de Windows 365-service gebruikt om de tenantsleutels opnieuw te versleutelen.
Algoritme voor wachtwoordversleuteling/ontsleuteling
Windows 365 maakt gebruik van een versleutelings-dan-MAC-benadering om de domeinreferentie te versleutelen met de sleutel per tenant, zoals beschreven in RFC 7366. Dezelfde sleutel wordt gebruikt voor het versleutelen en ontsleutelen van de gegevens.
Details van versleutelingsalgoritmen zijn:
- Algoritme versleutelen: Advanced Encryption Standard symmetrische sleutel
- Coderingsmodus: Coderingsblokkoppeling
- Sleutellengte: 256 bits
- Sleutel geldige periode: 12 maanden
- Verificatie-algoritme: HMACSHA256
Referentiegegevens bijwerken
Referenties worden vaak gewijzigd en moeten worden bijgewerkt. Windows 365 detecteert niet proactief referentiewijzigingen van het on-premises Active Directory gebruikersaccount dat is gekoppeld aan ANC. In plaats daarvan is Windows 365 afhankelijk van klanten om de ANC handmatig bij te werken met de bijgewerkte referentiegegevens.
Wanneer er een wijziging is in de domeinreferentie van het gebruikersaccount dat is gekoppeld aan een ANC, moet de nieuwe referentie handmatig worden bijgewerkt door de Windows 365-beheerder. De nieuwe referentie wordt vervolgens automatisch opnieuw versleuteld en bijgewerkt in de Windows 365-service.
Opmerking
Als de domeinreferentie is gewijzigd in uw on-premises Active Directory-omgeving, maar u de ANC niet handmatig bijwerkt, gebruikt Windows 365 nog steeds de oude referentie voor ANC-statuscontroles. Daarom mislukken deze statuscontroles omdat de referenties in de record niet meer geldig zijn. Om ervoor te zorgen dat dergelijke fouten niet optreden, werkt u de configuratie van de Azure-netwerkverbinding onmiddellijk bij met de nieuwe referenties.
Referentiegegevens verwijderen
Nadat u een ANC hebt verwijderd, worden alle gegevens met betrekking tot de ANC onmiddellijk en permanent verwijderd uit de Windows 365-service.
Als het tenantaccount is gedeactiveerd zonder de ANC te verwijderen, worden de referentiegegevens 29 dagen bewaard. Als de tenant binnen 29 dagen opnieuw wordt geactiveerd, worden de ANC- en domeinreferenties hersteld. Als de tenant na 29 dagen niet opnieuw wordt geactiveerd, worden alle ANC's en gerelateerde informatie, inclusief referenties, definitief verwijderd.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor