Azure Disk Encryption mit Microsoft Entra ID (vorherige Version)

  • Artikel

Gilt für: ✔️ Linux-VMs ✔️ Flexible Skalierungsgruppen

Beim neuen Release von Azure Disk Encryption muss kein Microsoft Entra-Anwendungsparameter mehr angegeben werden, um die VM-Datenträgerverschlüsselung zu aktivieren. Sie müssen beim neuen Release während des Schritts zum Aktivieren der Verschlüsselung keine Microsoft Entra-Anmeldeinformationen mehr angeben. Alle neuen VMs müssen mit dem neuen Release und ohne die Microsoft Entra-Anwendungsparameter verschlüsselt werden. Eine Anleitung zum Aktivieren der VM-Datenträgerverschlüsselung mit dem neuen Release finden Sie unter Azure Disk Encryption für Linux-VMs. VMs, die bereits mit Microsoft Entra-Anwendungsparametern verschlüsselt wurden, werden weiterhin unterstützt und sollten weiterhin mit der Microsoft Entra-Syntax verwaltet werden.

Dieser Artikel ergänzt Azure Disk Encryption für Linux-VMs um zusätzliche Anforderungen und Voraussetzungen für Azure Disk Encryption mit Microsoft Entra ID (vorheriges Release).

Die Angaben in folgenden Abschnitten bleiben unverändert:

Netzwerk und Gruppenrichtlinie

IaaS-VMs (Infrastructure-as-a-Service) müssen die folgenden Anforderungen für die Netzwerkendpunktkonfiguration erfüllen, damit das Azure Disk Encryption-Feature mit der älteren Microsoft Entra-Parametersyntax aktiviert werden kann:

  • Um ein Token für die Verbindungsherstellung mit Ihrem Schlüsseltresor zu erhalten, muss die IaaS-VM eine Verbindung mit dem Microsoft Entra-Endpunkt [login.microsoftonline.com] herstellen können.
  • Um die Verschlüsselungsschlüssel in Ihren Schlüsseltresor schreiben zu können, muss der virtuelle IaaS-Computer eine Verbindung mit dem Schlüsseltresorendpunkt herstellen können.
  • Der virtuelle IaaS-Computer muss eine Verbindung mit dem Azure-Speicherendpunkt herstellen können, an dem das Azure-Erweiterungsrepository gehostet wird, sowie mit einem Azure Storage-Konto, das die VHD-Dateien hostet.
  • Wenn Ihre Sicherheitsrichtlinie den Zugriff von virtuellen Azure-Computern auf das Internet beschränkt, können Sie den obigen URI auflösen und eine spezielle Regel konfigurieren, um ausgehende Verbindungen mit den IP-Adressen zuzulassen. Weitere Informationen finden Sie unter Zugreifen auf Azure Key Vault hinter einer Firewall.
  • Wenn TLS 1.0 unter Windows explizit deaktiviert und die .NET-Version nicht mindestens auf 4.6 aktualisiert wurde, sorgt die folgende Registrierungsänderung dafür, dass Azure Disk Encryption die neuere TLS-Version verwenden kann:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`

Gruppenrichtlinie

  • Die Azure Disk Encryption-Lösung verwendet für virtuelle Windows-IaaS-Computer die externe BitLocker-Schlüsselschutzvorrichtung. Pushen Sie für in eine Domäne eingebundene virtuelle Computer keine Gruppenrichtlinien, die TPM-Schutzvorrichtungen erzwingen. Informationen zur Gruppenrichtlinie für die Option BitLocker ohne kompatibles TPM zulassen finden Sie in der Referenz zur BitLocker-Gruppenrichtlinie.

  • Die BitLocker-Richtlinie für VMs mit Domänenbeitritt und benutzerdefinierten Gruppenrichtlinien muss die folgende Einstellung enthalten: Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren -> 256-Bit-Wiederherstellungsschlüssel zulassen. Wenn Einstellungen für die benutzerdefinierte Gruppenrichtlinie nicht mit BitLocker kompatibel sind, tritt für Azure Disk Encryption ein Fehler auf. Auf Computern ohne korrekte Richtlinieneinstellung müssen Sie die neue Richtlinie anwenden und die Aktualisierung der neuen Richtlinie erzwingen (gpupdate.exe /force). Danach ist möglicherweise ein Neustart erforderlich.

Speicheranforderungen für Verschlüsselungsschlüssel

Azure Disk Encryption benötigt Azure Key Vault zum Steuern und Verwalten von Verschlüsselungsschlüsseln und Geheimnissen für die Datenträgerverschlüsselung. Ihr Schlüsseltresor und die VMs müssen sich in derselben Azure-Region und im selben Azure-Abonnement befinden.

Weitere Informationen finden Sie unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption mit Microsoft Entra ID (vorheriges Release).

Nächste Schritte