Azure Disk Encryption dengan Azure Active Directory (rilis sebelumnya)

  • Artikel

Berlaku untuk:✔️ ️ VM Windows

Rilis baru Azure Disk Encryption menghilangkan persyaratan untuk menyediakan parameter aplikasi Microsoft Entra untuk mengaktifkan enkripsi disk VM. Dengan rilis baru, Anda tidak lagi diharuskan untuk memberikan kredensial Microsoft Entra selama langkah mengaktifkan enkripsi. Semua VM baru harus dienkripsi tanpa parameter aplikasi Microsoft Entra menggunakan rilis baru. Untuk melihat instruksi untuk mengaktifkan enkripsi disk VM menggunakan rilis baru, lihat Azure Disk Encryption untuk VM Windows. VM yang sudah dienkripsi dengan parameter aplikasi Microsoft Entra masih didukung dan harus terus dipertahankan dengan sintaks Microsoft Entra.

Artikel ini melengkapi Azure Disk Encryption untuk VM Windows dengan persyaratan dan prasyarat tambahan untuk Azure Disk Encryption dengan ID Microsoft Entra (rilis sebelumnya). Bagian Komputer virtual dan sistem operasi yang didukung tetap sama.

Jaringan dan Kebijakan Grup

Untuk mengaktifkan fitur Azure Disk Encryption menggunakan sintaks parameter Microsoft Entra yang lebih lama, VM IaaS harus memenuhi persyaratan konfigurasi titik akhir jaringan berikut:

  • Untuk mendapatkan token untuk terhubung ke brankas kunci Anda, IaaS VM harus dapat terhubung ke titik akhir Microsoft Entra, [login.microsoftonline.com].
  • Untuk menulis kunci enkripsi ke brankas kunci, komputer virtual infrastruktur sebagai layanan harus dapat tersambung ke titik akhir Azure AD.
  • Komputer virtual infrastruktur sebagai layanan harus dapat tersambung ke titik akhir penyimpanan Azure yang menghosting repositori ekstensi Azure dan akun penyimpanan Azure yang menghosting file VHD.
  • Jika kebijakan keamanan membatasi akses dari Azure VM ke Internet, Anda dapat mengatasi URI sebelumnya dan mengonfigurasi aturan tertentu untuk mengizinkan konektivitas keluar ke IP. Untuk mengetahui informasi selengkapnya, lihat Azure Key Vault di balik firewall.
  • Komputer virtual yang akan dienkripsi harus dikonfigurasi untuk menggunakan TLS 1.2 sebagai protokol default. Jika TLS 1.0 telah dinonaktifkan secara eksplisit dan versi .NET belum diperbarui ke 4.6 atau yang lebih tinggi, perubahan registri berikut akan memungkinkan ADE untuk memilih versi TLS yang lebih baru:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`

Kebijakan Grup:

  • Solusi Azure Disk Encryption menggunakan pelindung kunci eksternal BitLocker untuk komputer virtual infrastruktur sebagai layanan Windows. Untuk mesin virtual gabungan domain, jangan dorong kebijakan grup apa pun yang memberlakukan pelindung TPM. Untuk informasi tentang kebijakan grup untuk “Izinkan BitLocker tanpa TPM yang kompatibel”, lihat Referensi Kebijakan Grup BitLocker.

  • Kebijakan BitLocker pada mesin virtual yang bergabung dengan domain dengan kebijakan grup kustom harus mencakup pengaturan berikut: Konfigurasikan penyimpanan pengguna informasi pemulihan BitLocker -> Izinkan kunci pemulihan 256 bit. Azure Disk Encryption akan gagal ketika pengaturan kebijakan grup kustom untuk BitLocker tidak kompatibel. Pada mesin yang tidak memiliki pengaturan kebijakan yang benar, terapkan kebijakan baru, paksa kebijakan baru untuk memperbarui (gpupdate.exe /force), lalu mulai ulang jika diperlukan.

Persyaratan penyimpanan kunci enkripsi

Azure Disk Encryption memerlukan Azure Key Vault untuk mengontrol dan mengelola kunci enkripsi disk dan rahasia. Brankas kunci dan mesin virtual Anda harus berada di wilayah Azure dan langganan yang sama.

Untuk detailnya, lihat Membuat dan mengonfigurasi brankas kunci untuk Azure Disk Encryption dengan ID Microsoft Entra (rilis sebelumnya).

Langkah berikutnya