Usługa Azure Disk Encryption z usługą Azure AD (poprzednia wersja)

  • Artykuł

Dotyczy: ✔️ maszyny wirtualne z systemem Windows

Nowa wersja usługi Azure Disk Encryption eliminuje wymaganie podania parametru aplikacji Microsoft Entra w celu włączenia szyfrowania dysków maszyny wirtualnej. W nowej wersji nie musisz już podawać poświadczeń firmy Microsoft w trakcie kroku włączania szyfrowania. Wszystkie nowe maszyny wirtualne muszą być szyfrowane bez parametrów aplikacji Microsoft Entra przy użyciu nowej wersji. Aby wyświetlić instrukcje dotyczące włączania szyfrowania dysków maszyny wirtualnej przy użyciu nowej wersji, zobacz Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Windows. Maszyny wirtualne, które zostały już zaszyfrowane za pomocą parametrów aplikacji Microsoft Entra, są nadal obsługiwane i powinny być nadal utrzymywane przy użyciu składni Microsoft Entra.

Ten artykuł uzupełnia usługę Azure Disk Encryption dla maszyn wirtualnych z systemem Windows z dodatkowymi wymaganiami i wymaganiami wstępnymi dotyczącymi usługi Azure Disk Encryption przy użyciu identyfikatora Microsoft Entra ID (poprzednia wersja). Sekcja Obsługiwane maszyny wirtualne i systemy operacyjne pozostaje taka sama.

Sieci i zasady grupy

Aby włączyć funkcję Azure Disk Encryption przy użyciu starszej składni parametrów firmy Microsoft Entra, maszyny wirtualne IaaS muszą spełniać następujące wymagania dotyczące konfiguracji punktu końcowego sieci:

  • Aby uzyskać token umożliwiający nawiązanie połączenia z magazynem kluczy, maszyna wirtualna IaaS musi mieć możliwość nawiązania połączenia z punktem końcowym usługi Microsoft Entra [login.microsoftonline.com].
  • Aby zapisać klucze szyfrowania w magazynie kluczy, maszyna wirtualna IaaS musi mieć możliwość nawiązania połączenia z punktem końcowym magazynu kluczy.
  • Maszyna wirtualna IaaS musi mieć możliwość nawiązania połączenia z punktem końcowym magazynu platformy Azure, który hostuje repozytorium rozszerzenia platformy Azure i konto usługi Azure Storage hostujące pliki VHD.
  • Jeśli zasady zabezpieczeń ograniczają dostęp z maszyn wirtualnych platformy Azure do Internetu, możesz rozpoznać powyższy identyfikator URI i skonfigurować określoną regułę, aby zezwolić na łączność wychodzącą z adresami IP. Aby uzyskać więcej informacji, zobacz Azure Key Vault za zaporą.
  • Maszyna wirtualna do szyfrowania musi być skonfigurowana do używania protokołu TLS 1.2 jako protokołu domyślnego. Jeśli protokół TLS 1.0 został jawnie wyłączony, a wersja platformy .NET nie została zaktualizowana do wersji 4.6 lub nowszej, następująca zmiana rejestru umożliwi programowi ADE wybranie nowszej wersji protokołu TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`

Zasady grupy:

  • Rozwiązanie Azure Disk Encryption używa funkcji ochrony klucza zewnętrznego funkcji BitLocker dla maszyn wirtualnych IaaS z systemem Windows. W przypadku maszyn wirtualnych przyłączonych do domeny nie wypychaj żadnych zasad grupy, które wymuszają funkcje ochrony modułu TPM. Aby uzyskać informacje o zasadach grupy dla funkcji "Zezwalaj na funkcję BitLocker bez zgodnego modułu TPM", zobacz Dokumentacja zasad grupy funkcji BitLocker.

  • Zasady funkcji BitLocker na maszynach wirtualnych przyłączonych do domeny z niestandardowymi zasadami grupy muszą zawierać następujące ustawienie: Konfigurowanie magazynu użytkowników informacji odzyskiwania funkcji BitLocker —> Zezwalaj na 256-bitowy klucz odzyskiwania. Usługa Azure Disk Encryption zakończy się niepowodzeniem, gdy niestandardowe ustawienia zasad grupy dla funkcji BitLocker są niezgodne. Na maszynach, które nie miały poprawnego ustawienia zasad, zastosuj nowe zasady, wymuś nowe zasady do aktualizacji (gpupdate.exe /force), a następnie może być wymagane ponowne uruchomienie.

Wymagania dotyczące magazynu kluczy szyfrowania

Usługa Azure Disk Encryption wymaga usługi Azure Key Vault do kontrolowania kluczy szyfrowania dysków i wpisów tajnych oraz zarządzania nimi. Magazyn kluczy i maszyny wirtualne muszą znajdować się w tym samym regionie i subskrypcji platformy Azure.

Aby uzyskać szczegółowe informacje, zobacz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption przy użyciu identyfikatora Entra firmy Microsoft (poprzedniej wersji).

Następne kroki