تشفير قرص Azure باستخدام Azure Active Directory (AD) (الإصدار السابق)

ينطبق على: ✔️ أجهزة Linux الظاهرية ✔️ مجموعات مقياس مرنة

يلغي الإصدار الجديد من تشفير قرص Azure متطلبات توفير معلمة تطبيق Azure Active Directory (Azure AD) لتمكين تشفير قرص الجهاز الظاهري. مع الإصدار الجديد، لم تعد مطالباً بتوفير بيانات اعتماد Azure AD في أثناء خطوة تمكين التشفير. يجب تشفير جميع الأجهزة الظاهرية الجديدة بلا معلمات تطبيق Azure AD باستخدام الإصدار الجديد. للحصول على إرشادات حول كيفية تمكين تشفير قرص جهاز ظاهري باستخدام الإصدار الجديد، راجع تشفير قرص Azure لأجهزة Linux الظاهرية. لا تزال الأجهزة الظاهرية التي تم تشفيرها بالفعل باستخدام معلمات تطبيق Azure AD مدعومة، ويجب الاستمرار في الاحتفاظ بها باستخدام بناء جملة AAD.

توفر هذه المقالة أجزاءً تكميلية لتشفير قرص Azure للأجهزة الظاهرية التي تعمل بنظام التشغيل Linux مع متطلبات أساسية وإضافية لتشفير قرص Azure Disk مع Azure AD (الإصدار السابق).

تظل المعلومات الواردة في هذه الأقسام كما هي:

نهج المجموعة واتصال الشبكات

لتمكين ميزة تشفير قرص Azure باستخدام بناء جملة المعلمة AAD، يجب أن تفي الأجهزة الظاهرية لخدمة تأجير البنية التحتية بمتطلبات تكوين نقطة نهاية الشبكة التالية

  • للحصول على رمز مميز للاتصال بخزنة المفاتيح، يجب أن يكون الجهاز الظاهري لخدمة تأجير البنية التحتية قادرًا على الاتصال بنقطة نهاية Azure AD [login.microsoftonline.com].
  • لكتابة مفاتيح التشفير إلى مخزن رئيسي خاص بك، يجب أن يكون جهاز Linux الظاهري قادرًا على الاتصال بنقطة نهاية مخزن المفاتيح.
  • يجب أن يكون الجهاز الظاهري لخدمة تأجير البنية التحتية قادرًا على الاتصال بنقطة نهاية تخزين Azure، التي تستضيف مستودع ملحقات Azure وحساب تخزين Azure الذي يستضيف ملفات VHD.
  • إذا كان نهج الأمان لديك يحد من وصول أجهزة Azure الظاهرية إلى الإنترنت، يمكنك حل عنوان URL السابق وتكوين قاعدة معينة للسماح بالاتصال الصادر إلى عناوين IP. لمزيد من المعلومات، راجع Azure Key Vault خلف جدار حماية.
  • في Windows، إذا تم تعطيل TLS 1.0 بشكل صريح ولم يتم تحديث إصدار ‎.NET إلى 4.6 أو أعلى، فإن تغيير السجل التالي يعمل على تمكين تشفير قرص Azure من تحديد إصدار TLS الأحدث:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

سياسة المجموعة

  • يستخدم حل تشفير قرص Azure واقي المفتاح الخارجي BitLocker للأجهزة الظاهرية لخدمة تأجير البنية التحتية التي تعمل بنظام التشغيل Windows. بالنسبة إلى الأجهزة الظاهرية المرتبطة بالمجال، لا تضغط على أي نهج مجموعة تفرض أدوات حماية TPM. للحصول على معلومات حول نهج المجموعة للخيار السماح لـ BitLocker بدون TPM متوافق، راجع مرجع نهج المجموعة لـ BitLocker.

  • يجب أن يشتمل نهج BitLocker المثبت على الأجهزة الظاهرية المنضمة إلى المجال مع نهج المجموعة المخصص على الإعداد التالي: تكوين تخزين المستخدم لمعلومات استرداد BitLocker -> السماح بمفتاح استرداد 256 بت. يفشل تشفير قرص Azure عندما تكون إعدادات نهج المجموعة المخصص لـ BitLocker غير متوافقة. قم بتطبيق النهج الجديد، وفرض النهج الجديد على التحديث (gpupdate.exe /force) على الأجهزة التي لا تحتوي على إعداد النهج الصحيح، ثم أعد التشغيل إذا لزم الأمر.

متطلبات تخزين مفتاح التشفير

يطلب تشفير قرص Azure من Azure Key Vault التحكم في مفاتيح تشفير القرص والبيانات السرية وإدارتها. يجب أن يكون المخزن الرئيسي والأجهزة الظاهرية موجودة في نفس منطقة واشتراك Azure.

لمعرفة المزيد من المعلومات، راجع إنشاء وتكوين مخزن مفاتيح لتشفير قرص Azure باستخدام Azure Active Directory (الإصدار السابق).

الخطوات التالية