Azure Disk Encryption (AD) Azure Active Directory (korábbi kiadás)

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Rugalmas méretezési készletek

Az új Azure Disk Encryption szükségtelenné teszi, hogy Azure Active Directory (Azure AD) alkalmazásparamétert biztosítsunk a virtuális gép lemeztitkosításának engedélyezéséhez. Az új kiadással már nem kell Azure AD-beli hitelesítő adatokat megadnia a titkosítás engedélyezése lépés során. Az új kiadással minden új virtuális gépnek titkosítva kell lennie az Azure AD alkalmazásparaméterei nélkül. A virtuális gépek lemeztitkosításának új kiadással való engedélyezésével Azure Disk Encryption linuxos virtuális gépekhez. Az Azure AD-alkalmazásparaméterekkel már titkosított virtuális gépek továbbra is támogatottak, és továbbra is az AAD-szintaxissal kell karbantartani őket.

Ez a cikk a Linux Azure Disk Encryption való használatának további követelményeit és előfeltételeit kiegészítő Azure Disk Encryption az Azure AD-vel való használathoz (korábbi kiadás).

Az ezekben a szakaszokban található információk változatlanok maradnak:

Hálózat és Csoportházirend

Ahhoz, hogy a Azure Disk Encryption funkció a régebbi AAD-paraméterszintaxissal engedélyezhető legyen, a szolgáltatásként használt infrastruktúra (IaaS) virtuális gépeknek meg kell felelnie a következő hálózativégpont-konfigurációs követelményeknek:

  • Ahhoz, hogy jogkivonatot kap a kulcstartóhoz való csatlakozáshoz, az IaaS virtuális gépnek képesnek kell lennie csatlakozni egy Azure AD-végponthoz ( [ ] login.microsoftonline.com.
  • Ahhoz, hogy a titkosítási kulcsokat a kulcstartóba írható legyen, az IaaS virtuális gépnek csatlakoznia kell a Key Vault-végponthoz.
  • Az IaaS virtuális gépnek csatlakoznia kell egy Azure-beli tárolóvégponthoz, amely az Azure-bővítmény adattárát és a VHD-fájlokat tároló Azure Storage-fiókot tartalmazza.
  • Ha a biztonsági szabályzat korlátozza az Azure-beli virtuális gépek internethez való hozzáférését, feloldhatja az előző URI-t, és konfigurálhat egy meghatározott szabályt, amely engedélyezi a kimenő kapcsolatot az IP-címekkel. További információ: tűzfal Azure Key Vault mögött.
  • Ha Windows TLS 1.0 explicit módon le van tiltva, és a .NET-verzió nem 4.6-os vagy újabb verzióra frissül, a következő beállításjegyzék-módosítás lehetővé teszi, hogy a Azure Disk Encryption a legújabb TLS-verziót válassza ki:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Csoportházirend

  • A Azure Disk Encryption megoldás a BitLocker külső kulcsvédőt használja Windows IaaS virtuális gépekhez. Tartományhoz csatlakozott virtuális gépek esetén ne leküldéses csoportházirendeket, amelyek TPM-védőket kényszerítenek ki. A BitLocker kompatibilis TPM Csoportházirend nélküli engedélyezése beállítással kapcsolatos további információkért tekintse meg a BitLocker Csoportházirend referenciáját.

  • Az egyéni Csoportházirend-t használó, tartományhoz csatlakozott virtuális gépek bitLocker-házirendjének tartalmaznia kell a következő beállítást: A BitLocker helyreállítási információi felhasználói tárolónak konfigurálása -> 256bites helyreállítási kulcs engedélyezése. Azure Disk Encryption nem sikerül, ha Csoportházirend BitLocker egyéni beállításai nem kompatibilisek. Olyan gépeken, amelyeken nem a megfelelő házirend-beállítás van meg, alkalmazza az új szabályzatot, kényszerítse az új szabályzat frissítését (gpupdate.exe /force), majd indítsa újra, ha szükséges.

Titkosítási kulcs tárolási követelményei

Azure Disk Encryption titkosításhoz Azure Key Vault és felügyelni kell a lemeztitkosítási kulcsokat és titkos kódokat. A kulcstartónak és a virtuális gépeknek ugyanabban az Azure-régióban és -előfizetésben kell lennie.

További információ: Kulcstartó létrehozása és konfigurálása Azure Disk Encryption Azure AD-val (korábbi kiadás).

Következő lépések