تشفير قرص Azure مع معرف Microsoft Entra (الإصدار السابق)
ينطبق على: ✔️ أجهزة Linux الظاهرية ✔️ مجموعات مقياس مرنة
يلغي الإصدار الجديد من تشفير قرص Azure متطلبات توفير معلمة تطبيق Microsoft Entra لتمكين تشفير قرص الجهاز الظاهري. مع الإصدار الجديد، لم يعد مطلوبا منك توفير بيانات اعتماد Microsoft Entra أثناء خطوة تمكين التشفير. يجب تشفير جميع الأجهزة الظاهرية الجديدة بدون معلمات تطبيق Microsoft Entra باستخدام الإصدار الجديد. للحصول على إرشادات حول كيفية تمكين تشفير قرص جهاز ظاهري باستخدام الإصدار الجديد، راجع تشفير قرص Azure لأجهزة Linux الظاهرية. لا تزال الأجهزة الظاهرية التي تم تشفيرها بالفعل باستخدام معلمات تطبيق Microsoft Entra مدعومة ويجب أن تستمر في الاحتفاظ بها باستخدام بناء جملة Microsoft Entra.
توفر هذه المقالة ملحقات تشفير قرص Azure لأجهزة Linux الظاهرية مع متطلبات ومتطلبات إضافية تشفير قرص Azure مع معرف Microsoft Entra (الإصدار السابق).
تظل المعلومات الواردة في هذه الأقسام كما هي:
نهج الشبكات والمجموعة
لتمكين ميزة تشفير قرص Azure باستخدام بناء جملة معلمة Microsoft Entra الأقدم، يجب أن تفي الأجهزة الظاهرية للبنية الأساسية كخدمة (IaaS) بمتطلبات تكوين نقطة نهاية الشبكة التالية:
- للحصول على رمز مميز للاتصال بخزنة المفاتيح الخاصة بك، يجب أن يكون الجهاز الظاهري IaaS قادرا على الاتصال بنقطة نهاية Microsoft Entra، [login.microsoftonline.com].
- لكتابة مفاتيح التشفير إلى مخزن رئيسي خاص بك، يجب أن يكون جهاز Linux الظاهري قادرًا على الاتصال بنقطة نهاية المخزن الرئيسي.
- يجب أن يكون IaaS VM قادرًا على الاتصال بنقطة نهاية تخزين Azure التي تستضيف مستودع ملحق Azure وحساب تخزين Azure الذي يستضيف ملفات VHD.
- إذا كان نهج الأمان لديك يحد من وصول أجهزة Azure الظاهرية إلى الإنترنت، يمكنك حل عنوان URL السابق وتكوين قاعدة معينة للسماح بالاتصال الصادر إلى عناوين IP. لمزيد من المعلومات، راجع Azure Key Vault خلف جدار حماية.
- في Windows، إذا تم تعطيل TLS 1.0 بشكل صريح ولم يتم تحديث إصدار .NET إلى 4.6 أو أعلى، فإن تغيير السجل التالي يعمل على تمكين تشفير قرص Azure من تحديد إصدار TLS الأحدث:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
نهج المجموعة
يستخدم حل Azure Disk Encryption واقي المفتاح الخارجي BitLocker لنظام التشغيل Windows IaaS VMs. بالنسبة إلى الأجهزة الظاهرية المرتبطة بالمجال، لا تضغط على أي نهج مجموعة تفرض أدوات حماية TPM. للحصول على معلومات حول نهج المجموعة للخيار السماح لـ BitLocker بدون TPM متوافق، راجع مرجع نهج المجموعة لـ BitLocker.
يجب أن يشتمل نهج BitLocker المثبت على الأجهزة الظاهرية المنضمة إلى المجال مع نهج المجموعة المخصص على الإعداد التالي: تكوين تخزين المستخدم لمعلومات استرداد BitLocker -> السماح بمفتاح استرداد 256 بت. يفشل تشفير قرص Azure عندما تكون إعدادات نهج المجموعة المخصص لـ BitLocker غير متوافقة. قم بتطبيق النهج الجديد، وفرض النهج الجديد على التحديث (gpupdate.exe /force) على الأجهزة التي لا تحتوي على إعداد النهج الصحيح، ثم أعد التشغيل إذا لزم الأمر.
متطلبات تخزين مفتاح التشفير
يطلب تشفير قرص Azure من Azure Key Vault التحكم في مفاتيح تشفير القرص والبيانات السرية وإدارتها. يجب أن يكون المخزن الرئيسي والأجهزة الظاهرية موجودة في نفس منطقة واشتراك Azure.
لمزيد من المعلومات، راجع إنشاء مخزن مفاتيح وتكوينه تشفير قرص Azure باستخدام معرف Microsoft Entra (الإصدار السابق).