Azure Disk Encryption con Azure Active Directory (AD) (versión anterior)Azure Disk Encryption with Azure Active Directory (AD) (previous release)

La nueva versión de Azure Disk Encryption elimina el requisito de tener que proporcionar un parámetro de aplicación de Azure Active Directory (Azure AD) para habilitar el cifrado de disco de la máquina virtual.The new release of Azure Disk Encryption eliminates the requirement for providing an Azure Active Directory (Azure AD) application parameter to enable VM disk encryption. Con la nueva versión, ya no es necesario proporcionar credenciales de Azure AD durante el paso de habilitar el cifrado.With the new release, you're no longer required to provide Azure AD credentials during the enable encryption step. Todas las máquinas virtuales nuevas se deben cifrar sin los parámetros de aplicación de Azure AD con la nueva versión.All new VMs must be encrypted without the Azure AD application parameters by using the new release. Para ver las instrucciones sobre cómo habilitar el cifrado de disco de máquina virtual con la nueva versión, consulte Azure Disk Encryption para máquinas virtuales Linux.For instructions on how to enable VM disk encryption by using the new release, see Azure Disk Encryption for Linux VMs. Las máquinas virtuales que ya se han cifrado con parámetros de la aplicación de Azure AD siguen siendo compatibles y deben continuar manteniéndose con la sintaxis de AAD.VMs that were already encrypted with Azure AD application parameters are still supported and should continue to be maintained with the AAD syntax.

Este artículo sirve de complemento al artículo Azure Disk Encryption para máquinas virtuales Linux con requisitos adicionales y requisitos previos para Azure Disk Encryption con Azure AD (versión anterior).This article provides supplements to Azure Disk Encryption for Linux VMs with additional requirements and prerequisites for Azure Disk Encryption with Azure AD (previous release).

La información de estas secciones sigue siendo la misma:The information in these sections remains the same:

Redes y directiva de grupoNetworking and Group Policy

Para habilitar la característica Azure Disk Encryption con la sintaxis de parámetro de ADD anterior, las máquinas virtuales de infraestructura como servicio (IaaS) deben cumplir los siguientes requisitos de configuración de puntos de conexión de red:To enable the Azure Disk Encryption feature by using the older AAD parameter syntax, the infrastructure as a service (IaaS) VMs must meet the following network endpoint configuration requirements:

  • Para que un token se conecte al almacén de claves, la máquina virtual de IaaS debe poder conectarse a un punto de conexión de Azure AD, [login.microsoftonline.com].To get a token to connect to your key vault, the IaaS VM must be able to connect to an Azure AD endpoint, [login.microsoftonline.com].
  • Para escribir las claves de cifrado en el almacén de claves, la máquina virtual IaaS debe poder conectarse al punto de conexión del almacén de claves.To write the encryption keys to your key vault, the IaaS VM must be able to connect to the key vault endpoint.
  • La máquina virtual IaaS debe poder conectarse al punto de conexión de Azure Storage que hospeda el repositorio de extensiones de Azure y la cuenta de Azure Storage que hospeda los archivos VHD.The IaaS VM must be able to connect to an Azure storage endpoint that hosts the Azure extension repository and an Azure storage account that hosts the VHD files.
  • Si su directiva de seguridad limita el acceso desde máquinas virtuales de Azure a Internet, puede resolver el URI anterior y configurar una regla concreta para permitir la conectividad de salida para las direcciones IP.If your security policy limits access from Azure VMs to the internet, you can resolve the preceding URI and configure a specific rule to allow outbound connectivity to the IPs. Para más información, consulte Azure Key Vault detrás de un firewall.For more information, see Azure Key Vault behind a firewall.
  • En Windows, si se deshabilitó explícitamente TLS 1.0 y la versión de .NET no se ha actualizado a la 4.6 o posterior, el siguiente cambio en el registro habilitará Azure Disk Encryption para seleccionar la versión más reciente de TLS:On Windows, if TLS 1.0 is explicitly disabled and the .NET version isn't updated to 4.6 or higher, the following registry change enables Azure Disk Encryption to select the more recent TLS version:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Directiva de grupoGroup Policy

  • La solución Azure Disk Encryption usa el protector de claves externas de BitLocker para máquinas virtuales IaaS con Windows.The Azure Disk Encryption solution uses the BitLocker external key protector for Windows IaaS VMs. Para las máquinas virtuales unidas en un dominio, no cree ninguna directiva de grupo que exija protectores de TPM.For domain-joined VMs, don't push any Group Policies that enforce TPM protectors. Para obtener información acerca de la directiva de grupo para la opción Permitir BitLocker sin un TPM compatible, consulte la Referencia de la directiva de grupo de BitLocker.For information about the Group Policy for the option Allow BitLocker without a compatible TPM, see BitLocker Group Policy reference.

  • La directiva de BitLocker en máquinas virtuales unidas a un dominio con directivas de grupo personalizadas debe incluir la siguiente configuración: Configuración de almacenamiento de usuario de información de recuperación de BitLocker -> Permitir clave de recuperación de 256 bits.BitLocker policy on domain-joined virtual machines with a custom Group Policy must include the following setting: Configure user storage of BitLocker recovery information -> Allow 256-bit recovery key. Azure Disk Encryption presenta un error cuando la configuración de la directiva de grupo personalizada para BitLocker es incompatible.Azure Disk Encryption fails when custom Group Policy settings for BitLocker are incompatible. En máquinas que no tienen la configuración de directiva correcta, aplique la nueva directiva, fuerce a esta a actualizarse (gpupdate.exe /force) y luego reinicie.On machines that don't have the correct policy setting, apply the new policy, force the new policy to update (gpupdate.exe /force), and then restart if it's required.

Requisitos de almacenamiento de la clave de cifradoEncryption key storage requirements

Azure Disk Encryption requiere Azure Key Vault para controlar y administrar las claves y los secretos de cifrado de discos.Azure Disk Encryption requires Azure Key Vault to control and manage disk encryption keys and secrets. El almacén de claves y las máquinas virtuales deben residir en la misma región y suscripción de Azure.Your key vault and VMs must reside in the same Azure region and subscription.

Para más información, consulte Creación y configuración de un almacén de claves para Azure Disk Encryption con Azure AD (versión anterior).For more information, see Creating and configuring a key vault for Azure Disk Encryption with Azure AD (previous release).

Pasos siguientesNext steps