Azure Disk Encryption z Azure Active Directory (AD) (poprzednia wersja)

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux ✔️ Elastyczne zestawy skalowania

Nowa wersja usługi Azure Disk Encryption eliminuje wymaganie podania parametru aplikacji Azure Active Directory (Azure AD) w celu włączenia szyfrowania dysków maszyny wirtualnej. W nowej wersji nie jest już wymagane podanie poświadczeń usługi Azure AD podczas kroku włączania szyfrowania. Wszystkie nowe maszyny wirtualne muszą być szyfrowane bez parametrów aplikacji usługi Azure AD przy użyciu nowej wersji. Aby uzyskać instrukcje dotyczące włączania szyfrowania dysków maszyny wirtualnej przy użyciu nowej wersji, zobacz Azure Disk Encryption dla maszyn wirtualnych z systemem Linux. Maszyny wirtualne, które zostały już zaszyfrowane za pomocą parametrów aplikacji usługi Azure AD, są nadal obsługiwane i powinny być nadal obsługiwane przy użyciu składni usługi AAD.

Ten artykuł zawiera dodatkowe informacje Azure Disk Encryption maszyn wirtualnych z systemem Linux o dodatkowe wymagania i wymagania wstępne Azure Disk Encryption z usługą Azure AD (poprzednia wersja).

Informacje zawarte w tych sekcjach pozostają takie same:

Sieć i zasady grupy

Aby włączyć funkcję Azure Disk Encryption przy użyciu starszej składni parametrów usługi AAD, maszyny wirtualne infrastruktury jako usługi (IaaS) muszą spełniać następujące wymagania dotyczące konfiguracji punktu końcowego sieci:

  • Aby uzyskać token w celu nawiązania połączenia z magazynem kluczy, maszyna wirtualna IaaS musi mieć możliwość nawiązania połączenia z punktem końcowym usługi Azure AD, login.microsoftonline.com [ ] .
  • Aby zapisywać klucze szyfrowania w magazynie kluczy, maszyna wirtualna IaaS musi mieć możliwość nawiązania połączenia z punktem końcowym magazynu kluczy.
  • Maszyna wirtualna IaaS musi mieć możliwość nawiązania połączenia z punktem końcowym usługi Azure Storage hostem repozytorium rozszerzeń platformy Azure i kontem usługi Azure Storage, które hostuje pliki VHD.
  • Jeśli twoje zasady zabezpieczeń ograniczają dostęp z maszyn wirtualnych platformy Azure do Internetu, możesz rozpoznać poprzedni adres URI i skonfigurować określoną regułę, aby zezwolić na łączność wychodzącą z adresami IP. Aby uzyskać więcej informacji, zobacz Azure Key Vault za zaporą.
  • Jeśli Windows TLS 1.0 jest jawnie wyłączona, a wersja programu .NET nie została zaktualizowana do wersji 4.6 lub wyższej, następująca zmiana rejestru umożliwia programowi Azure Disk Encryption wybranie najnowszej wersji TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Zasady grupy

  • Rozwiązanie Azure Disk Encryption używa zewnętrznej ochrony klucza funkcji BitLocker dla Windows maszyn wirtualnych IaaS. W przypadku maszyn wirtualnych przyłączone do domeny nie należy wypychać żadnych zasad grupy, które wymuszają ochrony modułu TPM. Aby uzyskać informacje o zasady grupy dla opcji Zezwalaj na dostęp do funkcji BitLocker bez zgodnego modułu TPM, zobacz Informacje o funkcji BitLocker zasady grupy .

  • Zasady funkcji BitLocker na maszynach wirtualnych przyłączone do domeny z niestandardowym zasady grupy muszą zawierać następujące ustawienie: Konfigurowanie magazynu użytkowników informacji odzyskiwania funkcji BitLocker —> Zezwalaj na 256-bitowyklucz odzyskiwania . Azure Disk Encryption się, gdy niestandardowe zasady grupy ustawień funkcji BitLocker są niezgodne. Na maszynach, które nie mają poprawnego ustawienia zasad, zastosuj nowe zasady, wymusz aktualizację nowych zasad (gpupdate.exe /force), a następnie uruchom ponownie, jeśli jest to wymagane.

Wymagania dotyczące magazynu kluczy szyfrowania

Azure Disk Encryption wymaga Azure Key Vault do kontrolowania kluczy szyfrowania dysków i wpisów tajnych oraz zarządzania nimi. Magazyn kluczy i maszyny wirtualne muszą znajdować się w tym samym regionie i subskrypcji platformy Azure.

Aby uzyskać więcej informacji, zobacz Creating and configuring a key vault for Azure Disk Encryption with Azure AD (previous release) (Tworzeniei konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption azure AD (poprzednia wersja).

Następne kroki