Поделиться через

Жизненный цикл учетных данных домена сетевого подключения Azure

  • Статья

При создании сетевого подключения Azure (ANC) с помощью Microsoft Entra типа гибридного присоединения необходимо указать учетные данные локального домена. Это требование позволяет ANC взаимодействовать с локальными ресурсами.

В этой статье описывается, как Windows 365 защищает учетные данные локального домена и управляет ими в течение всего жизненного цикла Microsoft Entra гибридного присоединения ANC:

  1. Предоставление учетных данных
  2. Шифрование учетных данных
  3. Обновление учетных данных
  4. Удаление учетных данных

Предоставление учетных данных домена Microsoft Entra

При создании ANC необходимо указать учетные данные локальная служба Active Directory учетной записи пользователя, которая будет использоваться для присоединения к домену облачных компьютеров. Эти сведения, включая имя пользователя и пароль домена локальной учетной записи пользователя, укажите на странице домена AD:

Снимок экрана: страница домена AD.

Шифрование сведений о пароле домена

При создании ANC связанные с ним сведения сохраняются в службе Windows 365. Служба Windows 365 шифрует сведения о пароле домена с помощью хорошо защищенного ключа перед сохранением. Сведения о шифровании:

  • Тип шифрования: сертификат azure Key Vault
  • Тип ключа: RSA-HSM
  • Алгоритм: RSAOAEP256

Действия по автоматическому шифрованию будут выполняться следующим образом.

  1. Служба Windows 365 проверяет службу на наличие симметричного ключа для этого клиента.
  2. Если ключ отсутствует или его срок действия истек, Windows 365 создает новый симметричный ключ для этого клиента с помощью генератора случайных чисел. Ключи создаются для каждого клиента.
  3. Если ключ уже существует для этого клиента, он используется на следующих шагах.
  4. После получения (нового или существующего) ключа клиента Windows 365 расшифровывает ключ с помощью выделенного сертификата корпоративного ЦС Windows 365.
  5. Этот сертификат хранится в экземпляре azure Key Vault, управляемом корпорацией Майкрософт.
  6. Windows 365 служба шифрует пароль с помощью расшифрованного ключа клиента.
  7. Зашифрованный пароль сохраняется в службе Windows 365.

сертификаты Windows 365 Корпоративная

Windows 365 корпоративные сертификаты службы автоматически создаются и обновляются Key Vault Azure. Срок действия этого сертификата истекает через год. Служба Windows 365 регулярно проверяет состояние сертификата. За три месяца до истечения срока действия служба Windows 365 автоматически повторно создает новый сертификат. После создания нового сертификата он используется службой Windows 365 для повторного шифрования ключей клиента.

Алгоритм шифрования и расшифровки паролей

Windows 365 для шифрования учетных данных домена с ключом клиента используется метод шифрования, а затем MAC, как описано в rfc 7366. Один и тот же ключ используется для шифрования и расшифровки данных.

Сведения об алгоритме шифрования:

  • Алгоритм шифрования: расширенный стандартный симметричный ключ шифрования
  • Режим шифра: цепочка блоков шифров
  • Длина ключа: 256 бит
  • Срок действия ключа: 12 месяцев
  • Алгоритм проверки подлинности: HMACSHA256

Обновление учетных данных

Учетные данные часто меняются и нуждаются в обновлении. Windows 365 не обнаруживает изменения учетных данных учетной записи пользователя локальная служба Active Directory, связанной с ANC. Вместо этого Windows 365 зависит от клиентов, чтобы вручную обновить ANC с обновленными учетными данными.

При изменении учетных данных домена учетной записи пользователя, связанной с ANC, администратор Windows 365 должен вручную обновить новые учетные данные. Затем новые учетные данные автоматически повторно шифруются и обновляются в службе Windows 365.

Примечание.

Если учетные данные домена изменены в среде локальная служба Active Directory, но вы не обновляете ANC вручную, Windows 365 по-прежнему будет использовать старые учетные данные для проверок работоспособности ANC. Таким образом, эти проверки работоспособности завершатся ошибкой, так как учетные данные в записи больше не действительны. Чтобы убедиться, что такие сбои не происходят, немедленно обновите конфигурацию сетевого подключения Azure новыми учетными данными.

Удаление учетных данных

После удаления ANC все данные, связанные с ANC, немедленно и безвозвратно удаляются из службы Windows 365.

Если учетная запись клиента деактивирована без удаления ANC, учетные данные хранятся в течение 29 дней. Если клиент повторно активируется в течение 29 дней, учетные данные ANC и домена восстанавливаются. Если клиент не активируется повторно в течение 29 дней, все АНК и связанные с ними сведения, включая учетные данные, окончательно удаляются.

Дальнейшие действия

Создайте сетевое подключение Azure.