Compartilhar via

Ciclo de vida das credenciais do domínio de ligação de rede do Azure

  • Artigo

Quando cria uma ligação de rede do Azure (ANC) com um tipo de associação híbrida Microsoft Entra, tem de incluir informações de credenciais de domínio no local. Este requisito permite que o ANC comunique com os seus recursos no local.

Este artigo descreve como Windows 365 protege e gere as credenciais de domínio no local durante todo o ciclo de vida do ANC de associação híbrida Microsoft Entra:

  1. Fornecer credenciais
  2. Encriptar credenciais
  3. A atualizar credenciais
  4. A remover credenciais

Fornecer credenciais de domínio Microsoft Entra

Quando cria um ANC, tem de fornecer credenciais de uma conta de utilizador Active Directory local que será utilizada para associar PCs na Cloud a um domínio. Pode fornecer estas informações, incluindo o nome de utilizador e a palavra-passe de domínio da conta de utilizador no local, na página de domínio do AD:

Captura de ecrã a mostrar a página de domínio do AD.

Encriptação de informações de palavra-passe de domínio

Quando um ANC é criado, as informações associadas são armazenadas no serviço Windows 365. O serviço Windows 365 encripta as informações da palavra-passe de domínio com uma chave bem protegida antes de as guardar. Os detalhes de encriptação incluem:

  • Tipo de encriptação: certificado de Key Vault do Azure
  • Tipo de chave: RSA-HSM
  • Algoritmo: RSAOAEP256

Os passos de encriptação automatizada prosseguem da seguinte forma:

  1. O serviço Windows 365 verifica se o serviço tem uma chave simétrica existente específica desse inquilino.
  2. Se uma chave não estiver presente ou tiver expirado, Windows 365 gera uma nova chave simétrica para este inquilino através de um gerador de números aleatórios. As chaves são criadas por inquilino.
  3. Se já existir uma chave para este inquilino, será utilizada nos passos seguintes.
  4. Depois de obter a chave de inquilino (nova ou existente), Windows 365 desencripta a chave com o certificado emitido pela AC Empresarial dedicada Windows 365.
  5. Este certificado é armazenado na instância do Azure Key Vault gerida pela Microsoft.
  6. Windows 365 serviço encripta a palavra-passe com a chave de inquilino desencriptada.
  7. A palavra-passe encriptada é guardada no serviço Windows 365.

certificados de Windows 365 Enterprise

Windows 365 serviço, os certificados empresariais são gerados e renovados automaticamente pela Key Vault do Azure. Este certificado expira após um ano. O serviço Windows 365 verifica regularmente a status do certificado. Três meses antes da data de expiração, o serviço Windows 365 regenera automaticamente um novo certificado. Depois de o novo certificado ser gerado, é utilizado pelo serviço Windows 365 para encriptar novamente as chaves de inquilino.

Algoritmo de encriptação/desencriptação de palavras-passe

Windows 365 utiliza uma abordagem encrypt-then-MAC para encriptar a credencial de domínio com a chave por inquilino, conforme descrito em RFC 7366. A mesma chave é utilizada para encriptar e desencriptar os dados.

Os detalhes do algoritmo de encriptação incluem:

  • Encriptar algoritmo: Chave simétrica de Encriptação Padrão Avançada
  • Modo cifra: Cipher-Block-Chaining
  • Comprimento da chave: 256 bits
  • Período válido da chave: 12 meses
  • Algoritmo de autenticação: HMACSHA256

A atualizar as informações das credenciais

As credenciais mudam frequentemente e precisam de ser atualizadas. Windows 365 não deteta proativamente alterações de credenciais da conta de utilizador Active Directory local associada ao ANC. Em vez disso, Windows 365 depende dos clientes para atualizar manualmente o ANC com as informações de credenciais atualizadas.

Quando existe uma alteração à credencial de domínio da conta de utilizador associada a um ANC, a nova credencial deve ser atualizada manualmente pelo administrador Windows 365. Em seguida, a nova credencial é automaticamente encriptada e atualizada no serviço Windows 365.

Observação

Se a credencial de domínio for alterada no seu ambiente de Active Directory local, mas não atualizar manualmente o ANC, Windows 365 continuarão a utilizar a credencial antiga para verificações de estado de funcionamento do ANC. Por conseguinte, estas verificações de estado de funcionamento falharão porque as credenciais no registo já não são válidas. Para garantir que tais falhas não ocorrem, atualize imediatamente a configuração da ligação de rede do Azure com as novas credenciais.

A remover informações de credenciais

Depois de eliminar um ANC, todos os dados relacionados com o ANC são removidos de imediato e permanentemente do serviço Windows 365.

Se a conta de inquilino for desativada sem eliminar o ANC, as informações das credenciais serão mantidas durante 29 dias. Se o inquilino for reativado no prazo de 29 dias, as credenciais do ANC e do domínio serão restauradas. Se o inquilino não for reativado em 29 dias, todos os ANCs e informações relacionadas, incluindo credenciais, serão removidos permanentemente.

Próximas etapas

Criar uma ligação de rede do Azure.