Encriptação do disco Azure com Diretório Ativo Azure (AD) (versão anterior)Azure Disk Encryption with Azure Active Directory (AD) (previous release)

A nova versão da Encriptação do Disco Azure elimina o requisito para fornecer um parâmetro de aplicação Azure Ative Directory (Azure AD) para permitir a encriptação do disco VM.The new release of Azure Disk Encryption eliminates the requirement for providing an Azure Active Directory (Azure AD) application parameter to enable VM disk encryption. Com a nova versão, já não é obrigado a fornecer credenciais AZure AD durante o passo de encriptação ativa.With the new release, you're no longer required to provide Azure AD credentials during the enable encryption step. Todos os novos VMs devem ser encriptados sem os parâmetros da aplicação AD Azure utilizando a nova versão.All new VMs must be encrypted without the Azure AD application parameters by using the new release. Para obter instruções sobre como ativar a encriptação do disco VM utilizando a nova versão, consulte Azure Disk Encryption for Linux VMs.For instructions on how to enable VM disk encryption by using the new release, see Azure Disk Encryption for Linux VMs. Os VMs que já estavam encriptados com os parâmetros da aplicação AD Azure ainda são suportados e devem continuar a ser mantidos com a sintaxe AAD.VMs that were already encrypted with Azure AD application parameters are still supported and should continue to be maintained with the AAD syntax.

Este artigo fornece suplementos à Encriptação do Disco Azure para Os VMs Linux com requisitos adicionais e pré-requisitos para encriptação de disco Azure com Azure AD (versão anterior).This article provides supplements to Azure Disk Encryption for Linux VMs with additional requirements and prerequisites for Azure Disk Encryption with Azure AD (previous release).

A informação nestas secções permanece a mesma:The information in these sections remains the same:

Política de Networking e GrupoNetworking and Group Policy

Para ativar a funcionalidade de encriptação do disco Azure utilizando a sintaxe de parâmetro AAD mais antiga, a infraestrutura como um VMs de serviço (IaaS) deve satisfazer os seguintes requisitos de configuração do ponto final da rede:To enable the Azure Disk Encryption feature by using the older AAD parameter syntax, the infrastructure as a service (IaaS) VMs must meet the following network endpoint configuration requirements:

  • Para obter um token para ligar ao seu cofre chave, o IaaS VM deve ser capaz de ligar a um ponto final AZure AD, [ login.microsoftonline.com ] .To get a token to connect to your key vault, the IaaS VM must be able to connect to an Azure AD endpoint, [login.microsoftonline.com].
  • Para escrever as chaves de encriptação do cofre, o IaaS VM deve ser capaz de ligar ao ponto final do cofre.To write the encryption keys to your key vault, the IaaS VM must be able to connect to the key vault endpoint.
  • O IaaS VM deve ser capaz de se ligar a um ponto final de armazenamento Azure que acolhe o repositório de extensão Azure e uma conta de armazenamento Azure que acolhe os ficheiros VHD.The IaaS VM must be able to connect to an Azure storage endpoint that hosts the Azure extension repository and an Azure storage account that hosts the VHD files.
  • Se a sua política de segurança limitar o acesso dos VMs Azure à internet, pode resolver o URI anterior e configurar uma regra específica para permitir a conectividade de saída com os IPs.If your security policy limits access from Azure VMs to the internet, you can resolve the preceding URI and configure a specific rule to allow outbound connectivity to the IPs. Para obter mais informações, consulte o Azure Key Vault atrás de uma firewall.For more information, see Azure Key Vault behind a firewall.
  • No Windows, se o TLS 1.0 for explicitamente desativado e a versão .NET não for atualizada para 4.6 ou superior, a seguinte alteração de registo permite que a Encriptação do Disco Azure selecione a versão TLS mais recente:On Windows, if TLS 1.0 is explicitly disabled and the .NET version isn't updated to 4.6 or higher, the following registry change enables Azure Disk Encryption to select the more recent TLS version:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Política de GrupoGroup Policy

  • A solução de encriptação do disco Azure utiliza o protetor de chave externo BitLocker para Os VMs do Windows IaaS.The Azure Disk Encryption solution uses the BitLocker external key protector for Windows IaaS VMs. Para VMs unidos por domínio, não pressione quaisquer Políticas de Grupo que imponham protetores TPM.For domain-joined VMs, don't push any Group Policies that enforce TPM protectors. Para obter informações sobre a Política de Grupo para a opção Permitir bitLocker sem um TPM compatível, consulte a referência Política do Grupo BitLocker.For information about the Group Policy for the option Allow BitLocker without a compatible TPM, see BitLocker Group Policy reference.

  • A política do BitLocker sobre máquinas virtuais unidas a domínios com uma Política de Grupo personalizada deve incluir a seguinte definição: Configurar o armazenamento do utilizador de informações de recuperação bitLocker -> Permitir a chave de recuperação de 256 bits.BitLocker policy on domain-joined virtual machines with a custom Group Policy must include the following setting: Configure user storage of BitLocker recovery information -> Allow 256-bit recovery key. A encriptação do disco Azure falha quando as definições personalizadas da Política de Grupo para BitLocker são incompatíveis.Azure Disk Encryption fails when custom Group Policy settings for BitLocker are incompatible. Nas máquinas que não têm a definição de política correta, aplique a nova política, force a nova política a atualizar (gpupdate.exe/força) e, em seguida, reinicie se for necessário.On machines that don't have the correct policy setting, apply the new policy, force the new policy to update (gpupdate.exe /force), and then restart if it's required.

Requisitos de armazenamento de chaves de encriptaçãoEncryption key storage requirements

A encriptação do disco Azure requer a Azure Key Vault para controlar e gerir chaves e segredos de encriptação de discos.Azure Disk Encryption requires Azure Key Vault to control and manage disk encryption keys and secrets. O seu cofre-chave e VMs devem residir na mesma região de Azure e subscrição.Your key vault and VMs must reside in the same Azure region and subscription.

Para obter mais informações, consulte criar e configurar um cofre-chave para encriptação do disco Azure com Azure AD (versão anterior).For more information, see Creating and configuring a key vault for Azure Disk Encryption with Azure AD (previous release).

Passos seguintesNext steps