Azure Disk Encryption med Azure Active Directory (AD) (tidigare version)Azure Disk Encryption with Azure Active Directory (AD) (previous release)

Den nya versionen av Azure Disk Encryption eliminerar kravet på att tillhandahålla en Azure Active Directory (Azure AD)-program parameter för att aktivera disk kryptering för virtuella datorer.The new release of Azure Disk Encryption eliminates the requirement for providing an Azure Active Directory (Azure AD) application parameter to enable VM disk encryption. Med den nya versionen behöver du inte längre ange autentiseringsuppgifter för Azure AD under steget aktivera kryptering.With the new release, you're no longer required to provide Azure AD credentials during the enable encryption step. Alla nya virtuella datorer måste krypteras utan Azure AD-programmets parametrar med den nya versionen.All new VMs must be encrypted without the Azure AD application parameters by using the new release. Instruktioner för hur du aktiverar VM Disk Encryption med den nya versionen finns Azure Disk Encryption för virtuella Linux-datorer.For instructions on how to enable VM disk encryption by using the new release, see Azure Disk Encryption for Linux VMs. Virtuella datorer som redan har krypterats med Azure AD-programparametrar stöds fortfarande och bör fortsätta att behållas med AAD-syntaxen.VMs that were already encrypted with Azure AD application parameters are still supported and should continue to be maintained with the AAD syntax.

Den här artikeln ger tillägg till Azure Disk Encryption för virtuella Linux-datorer med ytterligare krav och krav för Azure Disk Encryption med Azure AD (tidigare version).This article provides supplements to Azure Disk Encryption for Linux VMs with additional requirements and prerequisites for Azure Disk Encryption with Azure AD (previous release).

Informationen i dessa avsnitt är densamma:The information in these sections remains the same:

Nätverks-och grupprincipNetworking and Group Policy

Om du vill aktivera Azure Disk Encryption funktionen med hjälp av den äldre AAD-parameterns syntax måste IaaS-virtuella datorer (infrastruktur som en tjänst) uppfylla följande konfigurations krav för nätverks slut punkt:To enable the Azure Disk Encryption feature by using the older AAD parameter syntax, the infrastructure as a service (IaaS) VMs must meet the following network endpoint configuration requirements:

  • Om du vill hämta en token för att ansluta till ditt nyckel valv måste den virtuella datorn IaaS kunna ansluta till en Azure AD-slutpunkt, [ login.microsoftonline.com ] .To get a token to connect to your key vault, the IaaS VM must be able to connect to an Azure AD endpoint, [login.microsoftonline.com].
  • Om du vill skriva krypterings nycklarna till ditt nyckel valv måste den virtuella datorn IaaS kunna ansluta till Key Vault-slutpunkten.To write the encryption keys to your key vault, the IaaS VM must be able to connect to the key vault endpoint.
  • Den virtuella datorn IaaS måste kunna ansluta till en Azure Storage-slutpunkt som är värd för Azure Extension-lagringsplatsen och ett Azure Storage-konto som är värd för VHD-filerna.The IaaS VM must be able to connect to an Azure storage endpoint that hosts the Azure extension repository and an Azure storage account that hosts the VHD files.
  • Om säkerhets principen begränsar åtkomsten från virtuella Azure-datorer till Internet kan du matcha föregående URI och konfigurera en speciell regel för att tillåta utgående anslutning till IP-adresserna.If your security policy limits access from Azure VMs to the internet, you can resolve the preceding URI and configure a specific rule to allow outbound connectivity to the IPs. Mer information finns i Azure Key Vault bakom en brand vägg.For more information, see Azure Key Vault behind a firewall.
  • Om TLS 1,0 uttryckligen är inaktiverat i Windows och .NET-versionen inte har uppdaterats till 4,6 eller högre, så aktiverar följande register ändring Azure Disk Encryption för att välja den senaste TLS-versionen:On Windows, if TLS 1.0 is explicitly disabled and the .NET version isn't updated to 4.6 or higher, the following registry change enables Azure Disk Encryption to select the more recent TLS version:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

GrupprincipGroup Policy

  • Azure Disk Encryption-lösningen använder BitLockers externa nyckel skydd för virtuella Windows IaaS-datorer.The Azure Disk Encryption solution uses the BitLocker external key protector for Windows IaaS VMs. För domänanslutna virtuella datorer ska du inte skicka några grup principer som tillämpar TPM-skydd.For domain-joined VMs, don't push any Group Policies that enforce TPM protectors. Information om grupprincip för alternativet Tillåt BitLocker utan en kompatibel TPM finns i referens för BitLocker-Grupprincip.For information about the Group Policy for the option Allow BitLocker without a compatible TPM, see BitLocker Group Policy reference.

  • BitLocker-principen på domänanslutna virtuella datorer med en anpassad grupprincip måste innehålla följande inställning: Konfigurera användar lagring av BitLocker-återställningsinformation – > tillåt 256-bitars återställnings nyckel.BitLocker policy on domain-joined virtual machines with a custom Group Policy must include the following setting: Configure user storage of BitLocker recovery information -> Allow 256-bit recovery key. Azure Disk Encryption Miss lyckas när anpassade grupprincip inställningar för BitLocker inte är kompatibla.Azure Disk Encryption fails when custom Group Policy settings for BitLocker are incompatible. På datorer som inte har rätt princip inställning tillämpar du den nya principen, tvingar den nya principen att uppdatera (gpupdate.exe/Force) och startar om den om det behövs.On machines that don't have the correct policy setting, apply the new policy, force the new policy to update (gpupdate.exe /force), and then restart if it's required.

Lagrings krav för krypterings nyckelEncryption key storage requirements

Azure Disk Encryption kräver Azure Key Vault för att kontrol lera och hantera disk krypterings nycklar och hemligheter.Azure Disk Encryption requires Azure Key Vault to control and manage disk encryption keys and secrets. Ditt nyckel valv och virtuella datorer måste finnas i samma Azure-region och prenumeration.Your key vault and VMs must reside in the same Azure region and subscription.

Mer information finns i skapa och konfigurera ett nyckel valv för Azure Disk Encryption med Azure AD (tidigare version).For more information, see Creating and configuring a key vault for Azure Disk Encryption with Azure AD (previous release).

Nästa stegNext steps