Microsoft Entra ID を使用した Azure Disk Encryption (以前のリリース)

  • [アーティクル]

適用対象: ✔️ Linux VM ✔️ フレキシブルなスケール セット

Azure Disk Encryption の新しいリリースでは、VM ディスク暗号化を有効にするために Microsoft Entra アプリケーション パラメーターを指定する必要はありません。 新しいリリースでは、暗号化を有効にする手順の途中で、Microsoft Entra の資格情報を指定する必要がなくなりました。 すべての新しい VM は、新しいリリースを使って、Microsoft Entra アプリケーション パラメーターを指定せずに暗号化する必要があります。 新しいリリースを使用して VM のディスク暗号化を有効にする手順については、Linux VM の Azure Disk Encryption に関するページを参照してください。 Microsoft Entra アプリケーションのパラメーターで既に暗号化されている VM は引き続きサポートされており、Microsoft Entra の構文を使って保持し続ける必要があります。

この記事では、Linux VM 用の Azure Disk Encryption の補足情報と、Microsoft Entra ID (以前のリリース) を使用した Azure Disk Encryption の追加の要件と前提条件について説明します。

これらのセクションの情報は変わりません。

ネットワークとグループ ポリシー

Microsoft Entra の以前のパラメーター構文を使って Azure Disk Encryption 機能を有効にするには、サービスとしてのインフラストラクチャ (IaaS) VM が次のネットワーク エンドポイントの構成要件を満たす必要があります。

  • キー コンテナーに接続するためのトークンを取得するには、IaaS VM が Microsoft Entra エンドポイント [login.microsoftonline.com] に接続できる必要があります。
  • 暗号化キーを Key Vault に書き込むには、IaaS VM が Key Vault エンドポイントに接続できる必要があります。
  • IaaS VM は、Azure 拡張リポジトリをホストする Azure ストレージ エンドポイントと、VHD ファイルをホストする Azure ストレージ アカウントに接続できる必要があります。
  • セキュリティ ポリシーで Azure VM からインターネットへのアクセスが制限されている場合は、上記の URI を解決し、IP への送信接続を許可するための特定のルールを構成することができます。 詳細については、「ファイアウォールの内側にある Azure Key Vault へのアクセス」を参照してください。
  • Windows 上で、TLS 1.0 が明示的に無効化され、.NET バージョンが 4.6 以降に更新されていない場合は、次のレジストリ変更によって Azure Disk Encryption を有効にして、より新しい TLS バージョンを選択できるようにします。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`

グループ ポリシー

  • Azure Disk Encryption ソリューションでは、Windows IaaS VM に対して BitLocker 外部キー保護機能を使用します。 ドメインに参加している VM の場合は、TPM 保護機能を適用するグループ ポリシーをプッシュしないでください。 "互換性のある TPM が装備されていない BitLocker を許可する" オプションのグループ ポリシーについては、「BitLocker Group Policy Reference」(BitLocker グループ ポリシー リファレンス) をご覧ください。

  • カスタム グループ ポリシーを使用するドメイン参加済みの仮想マシンの Bitlocker ポリシーには、[BitLocker 回復情報のユーザー ストレージを構成する] -> [256 ビットの回復キーを許可する] の設定を含める必要があります。 BitLocker のカスタム グループ ポリシー設定に互換性がない場合、Azure Disk Encryption は失敗します。 正しいポリシー設定がないマシンでは、新しいポリシーを適用し、新しいポリシーを強制的に更新して (gpupdate.exe /force)、必要な場合は再起動します。

暗号化キーのストレージ要件

Azure Disk Encryption では、ディスク暗号化キーとシークレットを制御および管理するために、Azure Key Vault が必要です。 ご利用のキー コンテナーと VM は、同じ Azure リージョンおよびサブスクリプションに存在している必要があります。

詳しくは、「Microsoft Entra ID を使用した Azure Disk Encryption 用のキー コンテナーの作成と構成 (以前のリリース)」をご覧ください。

次のステップ