Azure Disk Encryption mit Azure Active Directory (AD) (vorherige Version)

Gilt für: ✔️ Linux-VMs ✔️ Flexible Skalierungsgruppen

Beim neuen Release von Azure Disk Encryption muss kein Azure AD-Anwendungsparameter (Azure Active Directory) mehr angegeben werden, um die VM-Datenträgerverschlüsselung zu aktivieren. Sie müssen beim neuen Release während des Schritts zum Aktivieren der Verschlüsselung keine Azure AD-Anmeldeinformationen mehr angeben. Alle neuen virtuellen Computer müssen mit dem neuen Release und ohne die Azure AD-Anwendungsparameter verschlüsselt werden. Eine Anleitung zum Aktivieren der VM-Datenträgerverschlüsselung mit dem neuen Release finden Sie unter Azure Disk Encryption für Linux-VMs. Virtuelle Computer, die bereits mit Azure AD-Anwendungsparametern verschlüsselt wurden, werden weiterhin unterstützt und sollten weiterhin mit der AAD-Syntax gepflegt werden.

Dieser Artikel ergänzt Azure Disk Encryption für Linux-VMs um zusätzliche Anforderungen und Voraussetzungen für Azure Disk Encryption mit Azure AD (vorheriges Release).

Die Angaben in folgenden Abschnitten bleiben unverändert:

Netzwerk und Gruppenrichtlinie

Virtuelle IaaS-Computer (Infrastructure-as-a-Service) müssen die folgenden Anforderungen für die Netzwerkendpunktkonfiguration erfüllen, damit das Azure Disk Encryption-Feature mit der älteren AAD-Parametersyntax aktiviert werden kann:

  • Um ein Token für die Verbindungsherstellung mit Ihrem Schlüsseltresor zu erhalten, muss der virtuelle IaaS-Computer eine Verbindung mit dem Azure AD-Endpunkt [login.microsoftonline.com] herstellen können.
  • Um die Verschlüsselungsschlüssel in Ihren Schlüsseltresor schreiben zu können, muss der virtuelle IaaS-Computer eine Verbindung mit dem Schlüsseltresorendpunkt herstellen können.
  • Der virtuelle IaaS-Computer muss eine Verbindung mit dem Azure-Speicherendpunkt herstellen können, an dem das Azure-Erweiterungsrepository gehostet wird, sowie mit einem Azure Storage-Konto, das die VHD-Dateien hostet.
  • Wenn Ihre Sicherheitsrichtlinie den Zugriff von virtuellen Azure-Computern auf das Internet beschränkt, können Sie den obigen URI auflösen und eine spezielle Regel konfigurieren, um ausgehende Verbindungen mit den IP-Adressen zuzulassen. Weitere Informationen finden Sie unter Zugreifen auf Azure Key Vault hinter einer Firewall.
  • Wenn TLS 1.0 unter Windows explizit deaktiviert und die .NET-Version nicht mindestens auf 4.6 aktualisiert wurde, sorgt die folgende Registrierungsänderung dafür, dass Azure Disk Encryption die neuere TLS-Version verwenden kann:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Gruppenrichtlinie

  • Die Azure Disk Encryption-Lösung verwendet für virtuelle Windows-IaaS-Computer die externe BitLocker-Schlüsselschutzvorrichtung. Pushen Sie für in eine Domäne eingebundene virtuelle Computer keine Gruppenrichtlinien, die TPM-Schutzvorrichtungen erzwingen. Informationen zur Gruppenrichtlinie für die Option BitLocker ohne kompatibles TPM zulassen finden Sie in der Referenz zur BitLocker-Gruppenrichtlinie.

  • Die BitLocker-Richtlinie für in eine Domäne eingebundene virtuelle Computer mit benutzerdefinierter Gruppenrichtlinie muss die folgende Einstellung enthalten: Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren -> 256-Bit-Wiederherstellungsschlüssel zulassen. Wenn Einstellungen für die benutzerdefinierte Gruppenrichtlinie nicht mit BitLocker kompatibel sind, tritt für Azure Disk Encryption ein Fehler auf. Auf Computern ohne korrekte Richtlinieneinstellung müssen Sie die neue Richtlinie anwenden und die Aktualisierung der neuen Richtlinie erzwingen (gpupdate.exe /force). Danach ist möglicherweise ein Neustart erforderlich.

Speicheranforderungen für Verschlüsselungsschlüssel

Azure Disk Encryption benötigt Azure Key Vault zum Steuern und Verwalten von Verschlüsselungsschlüsseln und Geheimnissen für die Datenträgerverschlüsselung. Ihr Schlüsseltresor und die VMs müssen sich in derselben Azure-Region und im selben Azure-Abonnement befinden.

Weitere Informationen finden Sie unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption mit Azure AD (vorheriges Release).

Nächste Schritte