Azure Active Directory (AD)로 Azure Disk Encryption (이전 릴리스)Azure Disk Encryption with Azure Active Directory (AD) (previous release)

Azure Disk Encryption의 새 릴리스는 VM 디스크 암호화를 사용 하도록 설정 하기 위해 Azure Active Directory (Azure AD) 응용 프로그램 매개 변수를 제공 하는 요구 사항을 제거 합니다.The new release of Azure Disk Encryption eliminates the requirement for providing an Azure Active Directory (Azure AD) application parameter to enable VM disk encryption. 새 릴리스를 사용하면 암호화 단계를 사용하는 동안 더 이상 Azure AD 자격 증명을 제공할 필요가 없습니다.With the new release, you're no longer required to provide Azure AD credentials during the enable encryption step. 새 릴리스를 사용 하 여 Azure AD 응용 프로그램 매개 변수 없이 모든 새 Vm을 암호화 해야 합니다.All new VMs must be encrypted without the Azure AD application parameters by using the new release. 새 릴리스를 사용 하 여 VM 디스크 암호화를 사용 하도록 설정 하는 방법에 대 한 지침은 Linux vm에 대 한 Azure Disk Encryption를 참조 하세요.For instructions on how to enable VM disk encryption by using the new release, see Azure Disk Encryption for Linux VMs. Azure AD 애플리케이션 매개 변수를 사용하여 이미 암호화된 VM도 여전히 지원되며 AAD 구문을 사용하여 계속 유지 관리되어야 합니다.VMs that were already encrypted with Azure AD application parameters are still supported and should continue to be maintained with the AAD syntax.

이 문서에서는 Azure AD (이전 릴리스)와 Azure Disk Encryption에 대 한 추가 요구 사항 및 필수 구성 요소를 사용 하 여 Linux vm에 대 한 Azure Disk Encryption 를 보완 합니다.This article provides supplements to Azure Disk Encryption for Linux VMs with additional requirements and prerequisites for Azure Disk Encryption with Azure AD (previous release).

이러한 섹션의 정보는 동일 하 게 유지 됩니다.The information in these sections remains the same:

네트워킹 및 그룹 정책Networking and Group Policy

이전 AAD 매개 변수 구문을 사용 하 여 Azure Disk Encryption 기능을 사용 하도록 설정 하려면 IaaS (infrastructure as a service) Vm이 다음 네트워크 끝점 구성 요구 사항을 충족 해야 합니다.To enable the Azure Disk Encryption feature by using the older AAD parameter syntax, the infrastructure as a service (IaaS) VMs must meet the following network endpoint configuration requirements:

  • 키 자격 증명 모음에 연결 하는 토큰을 얻으려면 IaaS VM에서 Azure AD 끝점 login.microsoftonline.com에 연결할 수 있어야 합니다 [ ] .To get a token to connect to your key vault, the IaaS VM must be able to connect to an Azure AD endpoint, [login.microsoftonline.com].
  • 암호화 키를 고객 Key Vault에 쓰려면 IaaS VM에서 Key Vault 엔드포인트에 연결할 수 있어야 합니다.To write the encryption keys to your key vault, the IaaS VM must be able to connect to the key vault endpoint.
  • IaaS VM은 Azure 확장 리포지토리를 호스팅하는 Azure Storage 엔드포인트 및 VHD 파일을 호스팅하는 Azure Storage 계정에 연결할 수 있어야 합니다.The IaaS VM must be able to connect to an Azure storage endpoint that hosts the Azure extension repository and an Azure storage account that hosts the VHD files.
  • 보안 정책이 Azure Vm에서 인터넷으로의 액세스를 제한 하는 경우 이전 URI를 확인 하 고 Ip에 대 한 아웃 바운드 연결을 허용 하도록 특정 규칙을 구성할 수 있습니다.If your security policy limits access from Azure VMs to the internet, you can resolve the preceding URI and configure a specific rule to allow outbound connectivity to the IPs. 자세한 내용은 방화벽 뒤에 있는 Azure Key Vault를 참조하세요.For more information, see Azure Key Vault behind a firewall.
  • Windows에서 TLS 1.0을 명시적으로 사용 하지 않도록 설정 하 고 .NET 버전이 4.6 이상으로 업데이트 되지 않은 경우 다음 레지스트리를 변경 Azure Disk Encryption 여 최신 TLS 버전을 선택할 수 있습니다.On Windows, if TLS 1.0 is explicitly disabled and the .NET version isn't updated to 4.6 or higher, the following registry change enables Azure Disk Encryption to select the more recent TLS version:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

그룹 정책Group Policy

  • Azure Disk Encryption 솔루션은 Windows IaaS VM에 대해 BitLocker 외부 키 보호기를 사용합니다.The Azure Disk Encryption solution uses the BitLocker external key protector for Windows IaaS VMs. 도메인에 가입 된 Vm의 경우 TPM 보호기를 적용 하는 그룹 정책을 푸시 하지 마십시오.For domain-joined VMs, don't push any Group Policies that enforce TPM protectors. 호환 되는 TPM 없이 Bitlocker 허용 옵션의 그룹 정책에 대 한 자세한 내용은 bitlocker 그룹 정책 참조를 참조 하세요.For information about the Group Policy for the option Allow BitLocker without a compatible TPM, see BitLocker Group Policy reference.

  • 사용자 지정 그룹 정책 있는 도메인에 가입 된 가상 컴퓨터에 대 한 BitLocker 정책은 bitlocker 복구 정보의 사용자 저장소 구성-256 비트 복구 키 허용 >설정을 포함 해야 합니다.BitLocker policy on domain-joined virtual machines with a custom Group Policy must include the following setting: Configure user storage of BitLocker recovery information -> Allow 256-bit recovery key. BitLocker에 대 한 사용자 지정 그룹 정책 설정이 호환 되지 않는 경우 Azure Disk Encryption 실패 합니다.Azure Disk Encryption fails when custom Group Policy settings for BitLocker are incompatible. 올바른 정책 설정이 없는 컴퓨터에서 새 정책을 적용 하 고 새 정책을 강제로 업데이트 (gpupdate.exe/force) 한 다음 필요한 경우 다시 시작 합니다.On machines that don't have the correct policy setting, apply the new policy, force the new policy to update (gpupdate.exe /force), and then restart if it's required.

암호화 키 스토리지 요구 사항Encryption key storage requirements

Azure Disk Encryption에서 디스크 암호화 키와 암호를 제어 하 고 관리 하는 데 Azure Key Vault 필요 합니다.Azure Disk Encryption requires Azure Key Vault to control and manage disk encryption keys and secrets. Key Vault 및 VM은 동일한 Azure 지역 및 구독에 있어야 합니다.Your key vault and VMs must reside in the same Azure region and subscription.

자세한 내용은 AZURE AD를 사용 하 여 Azure Disk Encryption에 대 한 key Vault 만들기 및 구성 (이전 릴리스)을 참조 하세요.For more information, see Creating and configuring a key vault for Azure Disk Encryption with Azure AD (previous release).

다음 단계Next steps