Reînnoirea certificatului de grup de mașini pentru administratori

  • Articol

Prima Power Automate mașină care se alătură unui grup de mașini emite un certificat autosemnat folosit pentru:

  • Criptați acreditările Windows în conexiunile de flux desktop.
  • Identificați mașinile cu Power Automate.

Acest certificat este protejat cu o parolă cunoscută doar de client.

Ce se întâmplă în timpul reînnoirii certificatului de grup de mașini?

O diagramă cronologică pentru expirarea certificatului curent

Reînnoirea certificatului de grup de mașini începe în mod implicit cu șase luni înainte ca certificatul actual să expire și se termină când certificatul actual a expirat. Reînnoirea certificatului de grup de mașini nu va afecta capacitatea grupului de mașini de a rula fluxuri, deoarece este rapidă, are loc între rulări și acceptă mașini atât pe certificatul actual, cât și pe cel nou în timpul reînnoirii. In acel timp:

  • Prima mașină din grupul care se conectează cu Power Automate va emite un nou certificat protejat prin parolă.

  • Următoarele mașini din grupul care se conectează cu Power Automate și vor actualiza certificatul cu cel nou. Acest pas se poate întâmpla chiar dacă alte mașini (chiar și prima) sunt offline.

  • Mașinile cu noul certificat pot fi în continuare vizate cu succes de conexiuni de flux desktop care criptează acreditările cu certificatul actual.

  • Conexiunile de flux de desktop care vizează mașina sau grupul de mașini vor fi actualizate automat după ce sunt utilizate într-un flux în cloud pentru o rulare a fluxului de desktop.

Cât de des are loc reînnoirea certificatului?

În mod implicit, certificatele de grup de mașini expiră o dată la cinci ani. Reînnoirea are loc în ultimele șase luni înainte de expirare. Pentru a vedea informații despre cum să personalizați acest comportament, accesați Cum să personalizați durata de expirare și reînnoire a certificării?.

Ce se întâmplă dacă mașinile au ratat reînnoirea certificatului de grup de mașini (offline, Power Automated învechit pentru desktop etc.)?

Dacă cel puțin o mașină din grup a fost actualizată la cel mai recent certificat, alte mașini care au ratat perioada de reînnoire vor putea să se alăture grupului. Mai întâi, regenerează parola grupului de mașini pe mașina care a fost actualizată. Apoi, pe alte mașini, deschideți Power Automate aplicația de rulare a mașinii, selectați re-alăturați și introduceți noua parolă pentru grupul de mașini.

Dacă toate mașinile dintr-un grup de mașini au ratat reînnoirea certificatului, nu puteți utiliza acest grup de mașini. Trebuie să îl ștergeți, să recreați un nou grup de mașini și să vă alăturați mașinilor. Pentru a găsi informații despre identificarea mașinilor care au ratat reînnoirea certificatului de grup, accesați Cum το știți dacă o mașină a fost actualizată cu un nou certificat sau nu?.

Ce se întâmplă dacă conexiunile de flux de desktop sunt neutilizate în timpul reînnoirii certificatului de grup de mașini?

Dacă o conexiune de flux de desktop nu este utilizată în timpul reînnoirii certificatului de grup de mașini, trebuie să remediați această conexiune:

  • Accesați Power Automate portalul.
  • Navigați la Date>Conexiune.
  • Căutați conexiuni de flux desktop cu starea Remediați conexiunea și deschideți-le pentru a reintroduce informațiile necesare.

Ce se întâmplă dacă este de așteptat ca unele mașini să rămână offline sau neutilizate timp de mai multe luni?

Va trebui să puneți acele mașini online și să rulați fluxuri pe ele în timpul perioadei de reînnoire a certificatului.

  1. Găsiți mașini care trebuie să aibă Power Automate pentru desktop actualizate.

    Aparatele dvs. trebuie să fie echipate cu Power Automate versiunea 2.23 sau o versiune ulterioară. Puteți verifica versiunea mașinii dvs. utilizând coloana Versiune agent din tabelul Flow Machine din Dataverse.

  2. Găsiți perioada de reînnoire pentru fiecare mașină.

    Puteți determina perioada de reînnoire pentru mașinile unui anumit grup interogând Data creării cheii și Perioada de grație a expirării cheii de grup coloanele din Flow Machine Group tabelul din Dataverse. Intervalul de timp dintre Date de creare și Data de creare + Perioada de grație este atunci când fiecare mașină a grupului trebuie să intre online și să obțină cea mai recentă securitate de grup.

  3. Vă reamintim să puneți aparatele online în timpul perioadei de reînnoire.

    Puteți fi notificat despre actualizările de securitate a mașinii cu un flux cloud și următorul Dataverse declanșator:

    Acest declanșator va fi invocat de fiecare dată când securitatea mașinii este actualizată. Pentru a găsi informații despre ce valori să utilizați în declanșator, accesați Cum το știți dacă o mașină a fost actualizată cu un nou certificat sau nu?.

    Captură de ecran a declanșatorului Când este adăugat, modificat sau șters un rând.

    Utilizați:

    • PendingNewKey pentru mașinile care necesită o actualizare de securitate.
    • Implicit pentru mașinile care au procesat cu succes o actualizare de securitate.
    • KeyExpired pentru mașinile care nu au reușit să obțină un nou certificat în timpul perioadei de reînnoire.

    Notă

    Puteți utiliza opțiunile avansate suplimentare pentru a regla fin comportamentul acestui declanșator.

  4. Validați că mașinile au noile certificate.

    Puteți verifica că mașinile dvs. au preluat cea mai recentă versiune a certificatului de grup de mașini utilizând coloana Starea livrării cheii de mașină din Mașină de flux tabel în Dataverse. Dacă valoarea este goală sau setată la implicit, atunci aparatul dvs. este actualizat.

  5. Rulați fluxuri desktop cu fiecare conexiune care vizează acele mașini pentru a evita remedierea lor mai târziu.

    În Power Automate portalul:

    1. Accesați Monitorizați>Mașini.
    2. Selectați mașina din listă.
    3. Pe pagina de detalii a aparatului, localizați cardul de conexiuni și selectați Vedeți toate conexiunile.
    4. Rulați un flux de desktop cu fiecare dintre aceste conexiuni de flux de desktop.

    Captură de ecran a conexiunii unei mașini.

Cum să știi când are loc următoarea reînnoire a certificatului?

Există trei parametri care guvernează termenele de reînnoire a certificatelor, fiecare disponibil într-o coloană din Flow Machine Group înregistrarea din Dataverse:

  • Coloana Data creării cheii înregistrează data la care a fost creat certificatul.
  • Coloana Perioada de valabilitate a cheii documentează durata de viață a certificatului.
  • Coloana Perioada de grație a cheii reprezintă fereastra de timp în care este creat un nou certificat și mașinile și conexiunile sunt migrate la o cheie nouă.

Puteți afla data exactă a următoarei reînnoiri a certificatului utilizând următorul calcul: Data creării cheii + (Perioada de valabilitate a cheii – Perioada de grație a cheii)

O diagramă cronologică pentru expirarea certificatului curent

Cum știi dacă o mașină a fost actualizată cu un nou certificat sau nu?

Puteți verifica că mașinile dvs. au preluat cea mai recentă versiune a certificatului de grup de mașini utilizând coloana Starea de livrare a cheii de mașină din Mașină de flux tabel în Dataverse:

  • Dacă valoarea este goală sau setată la Implicit, aparatul dvs. este actualizat.
  • Dacă valoarea este Pending New Key, aparatul se află în perioada de reînnoire și nu a fost încă actualizat. Se va actualiza la conectarea sau în 24 de ore dacă este deja online.
  • Dacă valoarea este Key Expired, aparatul a ratat perioada de reînnoire și trebuie să vă alăturați manual aparatul la grup.

Cum să personalizați durata de expirare și reînnoire a certificării?

Power Automate vă permite să personalizați durata de viață a certificatului și cât de devreme este declanșată reînnoirea pentru orice grup de mașini. Reînnoirile viitoare vor folosi aceste Dataverse coloane (actualizările pot dura 24 de ore pentru a fi preluate):

Table Column Utilizare Limite
Grup computere de flux Perioadă de valabilitate pentru cheia grupului Durata in minute dupa care urmatorul certificat eliberat va fi expirat. Minimum: Trei luni (129.600 minute)
Maximum: Cinci ani (2,628,000 minute).
Grup computere de flux Perioadă de grație pentru expirarea cheii grupului Durata în minute înainte de data de expirare a certificatului de grup de mașini la care mașinile își vor reînnoi certificatele. Minimum: 45 de zile (64.800 de minute)
Maximum: jumătate din perioada de valabilitate a cheii de grup.

Certificatul actual rămâne valabil până la data de expirare a acestuia. Modificările perioadei de valabilitate se vor aplica numai pentru următorul certificat.

La modificarea perioadei de valabilitate și a perioadei de grație trebuie avute în vedere câteva considerații speciale:

  • Dacă noua valoare Perioada de valabilitate a cheii de grup este mai scurtă decât durata de viață a certificatului actual sau se încadrează în perioada de grație definită, va fi programată imediat o reînnoire a certificatului. Va începe în următoarele 24 de ore, presupunând că unele mașini ale grupului sunt online. Perioada de reînnoire a certificatului va dura perioada de grație definită.

  • Dacă noua valoare Perioada de valabilitate a cheii de grup este mai lungă decât cea actuală, nimic nu se va întâmpla imediat. Certificatul actual va fi menținut activ până la rotația lui. Noul certificat va lua în considerare noua perioadă de valabilitate.

Cum se declanșează reînnoirea certificatului?

Dacă doriți să accelerați reînnoirea certificatului, puteți edita Perioada de valabilitate a cheii de grup pentru a modifica durata perioadei de reînnoire. Această valoare nu poate fi mai mare de jumătate din Perioada de valabilitate a cheii de grup și nu poate fi mai mică de 45 de zile.

Dacă trebuie să invalidați imediat certificatele, ștergeți grupurile de mașini în Power Automate și recreați-le. Puteți face acest lucru ștergând rândurile corespunzătoare din tabelul Flow Machine group .

Avertisment

Ștergerea grupurilor de mașini va necesita repararea conexiunilor de flux de desktop care vizează aceste grupuri de mașini.