Azure Disk Encryption com Microsoft Entra ID (versão anterior)

  • Artigo

Aplica-se a: ✔️ Linux VMs ✔️ Conjuntos de escala flexível

A nova versão da Criptografia de Disco do Azure elimina a necessidade de fornecer um parâmetro de aplicativo Microsoft Entra para habilitar a criptografia de disco de VM. Com a nova versão, não é mais necessário fornecer credenciais do Microsoft Entra durante a etapa de habilitação da criptografia. Todas as novas VMs devem ser criptografadas sem os parâmetros do aplicativo Microsoft Entra usando a nova versão. Para obter instruções sobre como habilitar a criptografia de disco de VM usando a nova versão, consulte Azure Disk Encryption for Linux VMs. As VMs que já foram criptografadas com os parâmetros do aplicativo Microsoft Entra ainda são suportadas e devem continuar a ser mantidas com a sintaxe do Microsoft Entra.

Este artigo fornece suplementos ao Azure Disk Encryption para VMs Linux com requisitos e pré-requisitos adicionais para o Azure Disk Encryption com Microsoft Entra ID (versão anterior).

As informações nestas secções permanecem as mesmas:

Rede e Diretiva de Grupo

Para habilitar o recurso Azure Disk Encryption usando a sintaxe de parâmetro mais antiga do Microsoft Entra, as VMs de infraestrutura como serviço (IaaS) devem atender aos seguintes requisitos de configuração de ponto de extremidade de rede:

  • Para obter um token para se conectar ao seu cofre de chaves, a VM IaaS deve ser capaz de se conectar a um ponto de extremidade Microsoft Entra, [login.microsoftonline.com].
  • Para gravar as chaves de criptografia no cofre de chaves, a VM IaaS deve ser capaz de se conectar ao ponto de extremidade do cofre de chaves.
  • A VM IaaS deve ser capaz de se conectar a um ponto de extremidade de armazenamento do Azure que hospeda o repositório de extensão do Azure e uma conta de armazenamento do Azure que hospeda os arquivos VHD.
  • Se sua política de segurança limitar o acesso das VMs do Azure à Internet, você poderá resolver o URI anterior e configurar uma regra específica para permitir a conectividade de saída com os IPs. Para obter mais informações, consulte Azure Key Vault behind a firewall.
  • No Windows, se o TLS 1.0 estiver explicitamente desabilitado e a versão .NET não for atualizada para 4.6 ou superior, a seguinte alteração do Registro permitirá que o Azure Disk Encryption selecione a versão TLS mais recente:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`

Política de Grupo

  • A solução Azure Disk Encryption usa o protetor de chave externa BitLocker para VMs IaaS do Windows. Para VMs ingressadas no domínio, não envie por push nenhuma Política de Grupo que imponha protetores TPM. Para obter informações sobre a Política de Grupo para a opção Permitir BitLocker sem um TPM compatível, consulte Referência da Política de Grupo BitLocker.

  • A política do BitLocker em máquinas virtuais ingressadas no domínio com uma Política de Grupo personalizada deve incluir a seguinte configuração: Configurar o armazenamento do usuário das informações de recuperação do BitLocker -> Permitir chave de recuperação de 256 bits. A Criptografia de Disco do Azure falha quando as configurações personalizadas de Política de Grupo para o BitLocker são incompatíveis. Em máquinas que não têm a configuração de política correta, aplique a nova política, force a nova política a atualizar (gpupdate.exe /force) e reinicie se for necessário.

Requisitos do armazenamento de chaves de encriptação

O Azure Disk Encryption requer o Azure Key Vault para controlar e gerenciar chaves e segredos de criptografia de disco. Seu cofre de chaves e VMs devem residir na mesma região e assinatura do Azure.

Para obter mais informações, consulte Criando e configurando um cofre de chaves para o Azure Disk Encryption com a ID do Microsoft Entra (versão anterior).

Próximos passos