Usługa Azure Disk Encryption z identyfikatorem Entra firmy Microsoft (poprzednia wersja)

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux — elastyczne zestawy skalowania ✔️

Nowa wersja usługi Azure Disk Encryption eliminuje wymaganie podania parametru aplikacji Microsoft Entra w celu włączenia szyfrowania dysków maszyny wirtualnej. W nowej wersji nie musisz już podawać poświadczeń firmy Microsoft Entra podczas kroku włączania szyfrowania. Wszystkie nowe maszyny wirtualne muszą być szyfrowane bez parametrów aplikacji Microsoft Entra przy użyciu nowej wersji. Aby uzyskać instrukcje dotyczące włączania szyfrowania dysków maszyny wirtualnej przy użyciu nowej wersji, zobacz Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Linux. Maszyny wirtualne, które zostały już zaszyfrowane za pomocą parametrów aplikacji Microsoft Entra, są nadal obsługiwane i powinny być nadal utrzymywane przy użyciu składni Microsoft Entra.

Ten artykuł zawiera dodatki do usługi Azure Disk Encryption dla maszyn wirtualnych z systemem Linux z dodatkowymi wymaganiami i wymaganiami wstępnymi dotyczącymi usługi Azure Disk Encryption z identyfikatorem Microsoft Entra ID (poprzednia wersja).

Informacje w tych sekcjach pozostają takie same:

• Obsługiwane maszyny wirtualne i systemy operacyjne
• Dodatkowe wymagania dotyczące maszyny wirtualnej

Sieci i zasady grupy

Aby włączyć funkcję Azure Disk Encryption przy użyciu starszej składni parametrów firmy Microsoft Entra, maszyny wirtualne infrastruktury jako usługi (IaaS) muszą spełniać następujące wymagania dotyczące konfiguracji punktu końcowego sieci:

• Aby uzyskać token umożliwiający nawiązanie połączenia z magazynem kluczy, maszyna wirtualna IaaS musi mieć możliwość nawiązania połączenia z punktem końcowym usługi Microsoft Entra [login.microsoftonline.com].
• Aby zapisać klucze szyfrowania w magazynie kluczy, maszyna wirtualna IaaS musi mieć możliwość nawiązania połączenia z punktem końcowym magazynu kluczy.
• Maszyna wirtualna IaaS musi mieć możliwość nawiązania połączenia z punktem końcowym magazynu platformy Azure, który hostuje repozytorium rozszerzenia platformy Azure i konto usługi Azure Storage hostujące pliki VHD.
• Jeśli zasady zabezpieczeń ograniczają dostęp z maszyn wirtualnych platformy Azure do Internetu, możesz rozpoznać powyższy identyfikator URI i skonfigurować określoną regułę, aby zezwolić na łączność wychodzącą z adresami IP. Aby uzyskać więcej informacji, zobacz Azure Key Vault za zaporą.
• W systemie Windows, jeśli protokół TLS 1.0 jest jawnie wyłączony, a wersja platformy .NET nie jest aktualizowana do wersji 4.6 lub nowszej, następująca zmiana rejestru umożliwia usłudze Azure Disk Encryption wybranie nowszej wersji protokołu TLS:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Zasady grupy

• Rozwiązanie Azure Disk Encryption używa funkcji ochrony klucza zewnętrznego funkcji BitLocker dla maszyn wirtualnych IaaS z systemem Windows. W przypadku maszyn wirtualnych przyłączonych do domeny nie wypychaj żadnych zasad grupy, które wymuszają funkcje ochrony modułu TPM. Aby uzyskać informacje o zasadach grupy dla opcji Zezwalaj na funkcję BitLocker bez zgodnego modułu TPM, zobacz Dokumentacja zasad grupy funkcji BitLocker.

• Zasady funkcji BitLocker na maszynach wirtualnych przyłączonych do domeny z niestandardowymi zasadami grupy muszą zawierać następujące ustawienie: Konfigurowanie magazynu użytkowników informacji odzyskiwania funkcji BitLocker —> zezwalaj na 256-bitowy klucz odzyskiwania. Usługa Azure Disk Encryption kończy się niepowodzeniem, gdy niestandardowe ustawienia zasad grupy dla funkcji BitLocker są niezgodne. Na maszynach, które nie mają poprawnego ustawienia zasad, zastosuj nowe zasady, wymuś aktualizację nowych zasad (gpupdate.exe /force), a następnie uruchom ponownie, jeśli jest to wymagane.

Wymagania dotyczące magazynu kluczy szyfrowania

Usługa Azure Disk Encryption wymaga usługi Azure Key Vault do kontrolowania kluczy szyfrowania dysków i wpisów tajnych oraz zarządzania nimi. Magazyn kluczy i maszyny wirtualne muszą znajdować się w tym samym regionie i subskrypcji platformy Azure.

Aby uzyskać więcej informacji, zobacz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption przy użyciu identyfikatora Microsoft Entra ID (poprzedniej wersji).

Następne kroki

• Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption przy użyciu identyfikatora Entra firmy Microsoft (poprzedniej wersji)
• Włączanie usługi Azure Disk Encryption przy użyciu identyfikatora Entra firmy Microsoft na maszynach wirtualnych z systemem Linux (poprzednia wersja)
• Skrypt interfejsu wiersza polecenia wymagań wstępnych usługi Azure Disk Encryption
• Skrypt programu PowerShell wymagań wstępnych usługi Azure Disk Encryption