تشفير القرص Azure مع Microsoft Azure Active Directory (الإصدار السابق)
ينطبق على: ✔️ أجهزة Windows الظاهرية
يلغي الإصدار الجديد من تشفير قرص Azure متطلبات توفير معلمة تطبيق Microsoft Azure Active Directory تمكين تشفير القرص VM. مع الإصدار الجديد، لم تعد مطالبًا بتوفير بيانات اعتماد Microsoft Azure Active Directory أثناء خطوة تمكين التشفير. يجب تشفير جميع الأجهزة الظاهرية الجديدة بلا معلمات تطبيق Microsoft Azure Active Directory باستخدام الإصدار الجديد. لعرض الإرشادات لتمكين تشفير قرص الجهاز الظاهري باستخدام الإصدار الجديد، راجع تشفير قرص Azure لأجهزة Windows الظاهرية. لا تزال الأجهزة الظاهرية التي تم تشفيرها بالفعل باستخدام معلمات تطبيق Microsoft Azure Active Directory مدعومة، ويجب الاستمرار في الاحتفاظ بها باستخدام بناء جملة دليل Azure النشط.
تكمل هذه المقالة تشفير قرص Azure للأجهزة الظاهرية Windows بمتطلبات إضافية ومتطلبات مسبقة تشفير قرص Azure باستخدام Microsoft Azure Active Directory (الإصدار السابق). يظل قسم الأجهزة الظاهرية وأنظمة التشغيل المدعومة كما هو.
نهج الشبكات والمجموعة
لتمكين ميزة تشفير قرص Azure باستخدام بناء جملة المعلمة دليل Azure النشط الأقدم، يجب أن تفي الأجهزة الظاهرية IaaS بمتطلبات تكوين نقطة نهاية الشبكة التالية:
- للحصول على رمز مميز للاتصال بخزنة المفاتيح، يجب أن يكون IaaS VM قادرًا على الاتصال بنقطة نهاية Microsoft Azure Active Directory [login.microsoftonline.com].
- لكتابة مفاتيح التشفير إلى مخزن رئيسي خاص بك، يجب أن يكون جهاز Linux الظاهري قادرًا على الاتصال بنقطة نهاية المخزن الرئيسي.
- يجب أن يكون IaaS VM قادرًا على الاتصال بنقطة نهاية تخزين Azure التي تستضيف مستودع ملحق Azure وحساب تخزين Azure الذي يستضيف ملفات VHD.
- إذا كان نهج الأمان الخاص بك يحد من الوصول من الأجهزة الظاهرية لـ Azure إلى الإنترنت، يمكنك حل "URL" السابقة وتكوين قاعدة معينة للسماح بالاتصال الصادر إلى عناوين IP. لمزيد من المعلومات، راجع Azure Key Vault خلف جدار حماية.
- يجب تكوين الجهاز الظاهري المراد تشفيره لاستخدام TLS 1.2 كبروتوكول افتراضي. إذا تم تعطيل TLS 1.0 بشكل صريح ولم يتم تحديث إصدار .NET إلى 4.6 أو أعلى، فسيمكن تغيير التسجيل التالي ADE من تحديد إصدار TLS الأحدث:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
نهج المجموعة:
يستخدم حل Azure Disk Encryption واقي المفتاح الخارجي BitLocker لنظام التشغيل Windows IaaS VMs. بالنسبة إلى الأجهزة الظاهرية التي انضم إليها المجال، لا تدفع أي نهج مجموعة تفرض حماة TPM. للحصول على معلومات حول نهج المجموعة الخاص ب "السماح ب BitLocker بدون TPM متوافق"، راجع مرجع نهج المجموعة BitLocker.
يجب أن يتضمن نهج BitLocker على الأجهزة الظاهرية المنضمة إلى المجال مع نهج المجموعة المخصص الإعداد التالي: تكوين تخزين المستخدم لمعلومات استرداد BitLocker -> السماح بمفتاح استرداد 256 بت. سوف يفشل Azure Disk Encryption عندما تكون إعدادات group policy المخصصة لـ BitLocker غير متوافقة. على الأجهزة التي لم يكن إعداد النهج الصحيح تطبيق النهج الجديد فرض النهج الجديد لتحديث (gpupdate.exe /force) ومن ثم قد تكون مطلوبة إعادة التشغيل.
متطلبات تخزين مفتاح التشفير
يتطلب تشفير القرص Azure Vault مفتاح Azure للتحكم في مفاتيح تشفير القرص والأسرار وإدارتها. يجب أن يكون المخزن الرئيسي والأجهزة الظاهرية موجودة في نفس منطقة واشتراك Azure.
للحصول على التفاصيل، راجع إنشاء وتكوين قبو مفاتيح لتشفير قرص Azure باستخدام Microsoft Azure Active Directory (الإصدار السابق).
الخطوات التالية
- إنشاء مخزن مفاتيح وتكوينه تشفير قرص Azure باستخدام Microsoft Azure Active Directory (الإصدار السابق)
- تمكين تشفير قرص Azure باستخدام Microsoft Azure Active Directory على أجهزة Linux الظاهرية (الإصدار السابق)
- تشفير قرص Azure المتطلبات الأساسية البرنامج النصي CLI
- المتطلبات الأساسية تشفير قرص Azure البرنامج النصي PowerShell