Azure 網路連線網域認證生命週期
當您使用Microsoft Entra混合式聯結類型 (ANC) 建立 Azure 網路連線時,必須包含內部部署網域認證資訊。 這項需求可讓 ANC 與您的內部部署資源通訊。
本文說明Windows 365如何在整個Microsoft Entra混合式加入 ANC 生命週期期間保護及管理內部部署網域認證:
- 提供認證
- 加密認證
- 更新認證
- 移除認證
提供Microsoft Entra網域認證
當您建立 ANC時,您必須提供將用來加入雲端電腦網域之內部部署的 Active Directory使用者帳戶的認證。 您可以在 AD 網域頁面上提供這項資訊,包括內部部署使用者帳戶的使用者名稱和網域密碼:
加密網域密碼資訊
建立 ANC 時,與其相關聯的資訊會儲存在 Windows 365 服務中。 Windows 365服務會先使用受妥善保護的金鑰來加密網域密碼資訊,再儲存。 加密詳細資料包括:
- 加密類型:Azure 金鑰保存庫憑證
- 金鑰類型:RSA-HSM
- 演算法:RSAOAEP256
自動化加密步驟會繼續進行,如下所示:
- Windows 365服務會檢查服務是否有該租使用者特定的現有對稱金鑰。
- 如果金鑰不存在或已過期,Windows 365使用亂數產生器為此租使用者產生新的對稱金鑰。 每個租使用者都會建立金鑰。
- 如果此租使用者的金鑰已經存在,則會在下列步驟中使用。
- 取得 (新的或現有的) 租使用者金鑰之後,Windows 365使用Windows 365專用的企業 CA 核發憑證來解密金鑰。
- 此憑證會儲存在 Microsoft 所管理的 Azure 金鑰保存庫 實例中。
- Windows 365服務會使用解密的租使用者金鑰來加密密碼。
- 加密的密碼會儲存至Windows 365服務。
Windows 365 企業版憑證
Windows 365 Azure 金鑰保存庫會自動產生和更新服務企業憑證。 此憑證會在一年後到期。 Windows 365服務會定期檢查憑證的狀態。 在到期日前三個月,Windows 365服務會自動重新產生新的憑證。 產生新憑證之後,Windows 365服務會使用它來重新加密租使用者金鑰。
密碼加密/解密演算法
Windows 365使用加密後 MAC 方法,以每個租使用者金鑰加密網域認證,如RFC 7366中所述。 相同的金鑰用於加密和解密資料。
加密演算法詳細資料包括:
- 加密演算法:進階加密標準對稱金鑰
- 加密模式:加密區塊鏈結
- 金鑰長度:256 位
- 金鑰有效期間:12 個月
- 驗證演算法:HMACSHA256
更新認證資訊
認證通常會變更,而且需要更新。 Windows 365不會主動偵測與 ANC 相關聯之內部部署的 Active Directory使用者帳戶的認證變更。 相反地,Windows 365依賴客戶以更新的認證資訊手動更新 ANC。
當與 ANC 相關聯之使用者帳戶的網域認證變更時,新的認證應該由Windows 365系統管理員手動更新。 新的認證接著會在Windows 365服務中自動重新加密並更新。
注意事項
如果您的內部部署的 Active Directory環境中已變更網域認證,但您未手動更新 ANC,Windows 365仍會使用舊認證進行 ANC健康情況檢查。 因此,這些健康情況檢查將會失敗,因為記錄中的認證不再有效。 若要確保不會發生這類失敗,請立即使用新的認證 更新 Azure 網路聯 機設定。
移除認證資訊
刪除 ANC之後,所有與 ANC 相關的資料都會立即從Windows 365服務中永久移除。
如果租使用者帳戶在未刪除 ANC 的情況下停用,則認證資訊會保留 29 天。 如果租使用者在 29 天內重新啟用,則會還原 ANC 和網域認證。 如果租使用者在 29 天內未重新啟用,則會永久移除所有 ANC 和相關資訊,包括認證。