Azure Disk Encryption med Azure Active Directory (AD) (tidigare version)

Gäller för: Virtuella ✔️ Linux-datorer – ✔️ flexibla skalningsuppsättningar

Den nya versionen av Azure Disk Encryption eliminerar kravet på att tillhandahålla en Azure Active Directory -programparameter (Azure AD) för att aktivera VM-diskkryptering. Med den nya versionen behöver du inte längre ange Autentiseringsuppgifter för Azure AD under steget aktivera kryptering. Alla nya virtuella datorer måste krypteras utan Azure AD-programparametrarna med hjälp av den nya versionen. Anvisningar om hur du aktiverar diskkryptering för virtuella datorer med den nya versionen finns i Azure Disk Encryption för virtuella Linux-datorer. Virtuella datorer som redan har krypterats med Azure AD-programparametrar stöds fortfarande och bör fortsätta att underhållas med AAD syntax.

Den här artikeln innehåller tillägg Azure Disk Encryption för virtuella Linux-datorer med ytterligare krav och förutsättningar för Azure Disk Encryption med Azure AD (tidigare version).

Informationen i de här avsnitten förblir densamma:

Nätverk och grupprincip

För att aktivera Azure Disk Encryption-funktionen med den äldre AAD-parametersyntaxen måste de virtuella IaaS-datorerna (infrastruktur som en tjänst) uppfylla följande konfigurationskrav för nätverksslutpunkter:

  • För att få en token att ansluta till nyckelvalvet måste den virtuella IaaS-datorn kunna ansluta till en Azure AD-slutpunkt[ login.microsoftonline.com].
  • Om du vill skriva krypteringsnycklarna till nyckelvalvet måste den virtuella IaaS-datorn kunna ansluta till slutpunkten för nyckelvalvet.
  • Den virtuella IaaS-datorn måste kunna ansluta till en Azure-lagringsslutpunkt som är värd för lagringsplatsen för Azure-tillägget och ett Azure-lagringskonto som är värd för VHD-filerna.
  • Om din säkerhetsprincip begränsar åtkomsten från virtuella Azure-datorer till Internet kan du lösa föregående URI och konfigurera en specifik regel för att tillåta utgående anslutning till IP-adresser. Mer information finns i Azure Key Vault bakom en brandvägg.
  • Om Windows TLS 1.0 uttryckligen inaktiveras och .NET-versionen inte har uppdaterats till 4.6 eller senare gör följande registerändring det möjligt för Azure Disk Encryption att välja den senaste TLS-versionen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Grupprincip

  • Den Azure Disk Encryption lösningen använder bitLocker-skydd med extern nyckel för Windows virtuella IaaS-datorer. Skicka inte några grupprinciper som framtvingar TPM-skydd för domän-ansluten VIRTUELLA datorer. Mer information om grupprincip för alternativet Tillåt BitLocker utan kompatibel TPM finns i BitLocker grupprincip referens.

  • BitLocker-principen på domänkopplade virtuella datorer med en anpassad grupprincip måste innehålla följande inställning: Konfigurera användarlagring av BitLocker-återställningsinformation –> Tillåt 256-bitars återställningsnyckel. Azure Disk Encryption misslyckas när anpassade grupprincip för BitLocker är inkompatibla. På datorer som inte har rätt principinställning tillämpar du den nya principen, tvingar den nya principen att uppdateras (gpupdate.exe /force) och startar sedan om om den behövs.

Lagringskrav för krypteringsnyckel

Azure Disk Encryption kräver Azure Key Vault för att kontrollera och hantera diskkrypteringsnycklar och hemligheter. Ditt nyckelvalv och dina virtuella datorer måste finnas i samma Azure-region och -prenumeration.

Mer information finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption med Azure AD (tidigare version).

Nästa steg