Azure ağ bağlantısı etki alanı kimlik bilgisi yaşam döngüsü
Microsoft Entra karma birleştirme türü kullanarak bir Azure ağ bağlantısı (ANC) oluşturduğunuzda, şirket içi etki alanı kimlik bilgileri eklemeniz gerekir. Bu gereksinim, ANC'nin şirket içi kaynaklarınızla iletişim kurmasını mümkün kılar.
Bu makalede, Windows 365 Microsoft Entra karma birleştirme ANC yaşam döngüsünün tamamı boyunca şirket içi etki alanı kimlik bilgilerini nasıl koruyup yönettiği açıklanmaktadır:
- Kimlik bilgileri sağlama
- Kimlik bilgilerini şifreleme
- Kimlik bilgilerini güncelleştirme
- Kimlik bilgileri kaldırılıyor
Microsoft Entra etki alanı kimlik bilgilerini sağlayın
ANC oluşturduğunuzda, Bulut bilgisayarlara etki alanına katılmak için kullanılacak şirket içi Active Directory kullanıcı hesabının kimlik bilgilerini sağlamanız gerekir. Ad etki alanı sayfasında, şirket içi kullanıcı hesabının kullanıcı adı ve etki alanı parolası dahil olmak üzere bu bilgileri sağlarsınız:
Etki alanı parola bilgilerinin şifresi
AnC oluşturulduğunda, onunla ilişkilendirilmiş bilgiler Windows 365 hizmetinde depolanır. Windows 365 hizmeti, etki alanı parola bilgilerini kaydetmeden önce iyi korunan bir anahtarla şifreler. Şifreleme ayrıntıları şunlardır:
- Şifreleme türü: Azure Key Vault sertifikası
- Anahtar türü: RSA-HSM
- Algoritma: RSAOAEP256
Otomatik şifreleme adımları aşağıdaki gibi devam eder:
- Windows 365 hizmeti, bu kiracıya özgü mevcut bir simetrik anahtar için hizmeti denetler.
- Bir anahtar yoksa veya süresi dolduysa, Windows 365 rastgele bir sayı oluşturucu kullanarak bu kiracı için yeni bir simetrik anahtar oluşturur. Anahtarlar kiracı başına oluşturulur.
- Bu kiracı için bir anahtar zaten varsa, aşağıdaki adımlarda kullanılır.
- (Yeni veya var olan) kiracı anahtarını aldıktan sonra Windows 365 Windows 365 ayrılmış Kurumsal CA tarafından verilen sertifikayla anahtarın şifresini çözer.
- Bu sertifika, Microsoft tarafından yönetilen Azure Key Vault örneğinde depolanır.
- Windows 365 hizmeti, şifresi çözülen kiracı anahtarıyla parolayı şifreler.
- Şifrelenmiş parola Windows 365 hizmetine kaydedilir.
sertifikaları Windows 365 Enterprise
Windows 365 hizmeti kurumsal sertifikaları Azure Key Vault tarafından otomatik olarak oluşturulur ve yenilenir. Bu sertifikanın süresi bir yıl sonra dolar. Windows 365 hizmeti, sertifikanın durumunu düzenli olarak denetler. Son kullanma tarihinden üç ay önce, Windows 365 hizmeti otomatik olarak yeni bir sertifika oluşturur. Yeni sertifika oluşturulduktan sonra, kiracı anahtarlarını yeniden şifrelemek için Windows 365 hizmeti tarafından kullanılır.
Parola şifreleme/şifre çözme algoritması
Windows 365, RFC 7366'da açıklandığı gibi etki alanı kimlik bilgilerini kiracı başına anahtarla şifrelemek için bir şifreleme-sonra-MAC yaklaşımı kullanır. Verileri şifrelemek ve şifresini çözmek için aynı anahtar kullanılır.
Şifreleme algoritması ayrıntıları şunlardır:
- Şifreleme algoritması: Gelişmiş Şifreleme Standardı simetrik anahtar
- Şifreleme modu: Şifreleme-Blok-Zincirleme
- Anahtar uzunluğu: 256 bit
- Anahtar geçerlilik süresi: 12 ay
- Kimlik doğrulama algoritması: HMACSHA256
Kimlik bilgileri güncelleştiriliyor
Kimlik bilgileri genellikle değişir ve güncelleştirilmesi gerekir. Windows 365, ANC ile ilişkili şirket içi Active Directory kullanıcı hesabının kimlik bilgisi değişikliklerini proaktif olarak algılamaz. Bunun yerine, Windows 365 müşterilerin ANC'yi güncelleştirilmiş kimlik bilgileriyle el ile güncelleştirmesini sağlar.
ANC ile ilişkilendirilmiş kullanıcı hesabının etki alanı kimlik bilgisinde bir değişiklik olduğunda, yeni kimlik bilgisi Windows 365 yöneticisi tarafından el ile güncelleştirilmelidir. Daha sonra yeni kimlik bilgileri otomatik olarak yeniden şifrelenir ve Windows 365 hizmetinde güncelleştirilir.
Not
etki alanı kimlik bilgileri şirket içi Active Directory ortamınızda değiştirilirse ancak ANC'yi el ile güncelleştirmezseniz Windows 365 ANC sistem durumu denetimleri için eski kimlik bilgilerini kullanmaya devam eder. Bu nedenle, kayıtta kimlik bilgileri artık geçerli olmadığından bu sistem durumu denetimleri başarısız olur. Bu tür hataların gerçekleşmediğinden emin olmak için Azure ağ bağlantısı yapılandırmasını yeni kimlik bilgileriyle hemen güncelleştirin.
Kimlik bilgileri kaldırılıyor
ANC'yi sildikten sonra ANC ile ilgili tüm veriler hemen ve kalıcı olarak Windows 365 hizmetinden kaldırılır.
Kiracı hesabı ANC silinmeden devre dışı bırakılırsa, kimlik bilgileri 29 gün boyunca saklanır. Kiracı 29 gün içinde yeniden etkinleştirilirse ANC ve etki alanı kimlik bilgileri geri yüklenir. Kiracı 29 gün içinde yeniden etkinleştirilmezse, kimlik bilgileri de dahil olmak üzere tüm ANC'ler ve ilgili bilgiler kalıcı olarak kaldırılır.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin