تشفير القرص Azure مع Microsoft Azure Active Directory (الإصدار السابق)
ينطبق على: ✔️ أجهزة Windows الظاهرية
يلغي الإصدار الجديد من تشفير قرص Azure متطلبات توفير معلمة تطبيق Microsoft Entra لتمكين تشفير قرص الجهاز الظاهري. مع الإصدار الجديد، لم يعد مطلوبا منك توفير بيانات اعتماد Microsoft Entra أثناء خطوة تمكين التشفير. يجب تشفير جميع الأجهزة الظاهرية الجديدة دون معلمات تطبيق Microsoft Entra باستخدام الإصدار الجديد. لعرض الإرشادات لتمكين تشفير قرص الجهاز الظاهري باستخدام الإصدار الجديد، راجع تشفير قرص Azure لأجهزة Windows الظاهرية. لا تزال الأجهزة الظاهرية التي تم تشفيرها بالفعل باستخدام معلمات تطبيق Microsoft Entra مدعومة ويجب أن تستمر في الاحتفاظ بها باستخدام بناء جملة Microsoft Entra.
تكمل هذه المقالة تشفير قرص Azure لأجهزة Windows الظاهرية بمتطلبات ومتطلبات أساسية إضافية تشفير قرص Azure مع معرف Microsoft Entra (الإصدار السابق). يظل قسم الأجهزة الظاهرية وأنظمة التشغيل المدعومة كما هو.
نهج الشبكات والمجموعة
لتمكين ميزة تشفير قرص Azure باستخدام بناء جملة معلمة Microsoft Entra الأقدم، يجب أن تفي الأجهزة الظاهرية لخدمة تأجير البنية التحتية بمتطلبات تكوين نقطة نهاية الشبكة التالية:
- للحصول على رمز مميز للاتصال بخزنة المفاتيح الخاصة بك، يجب أن يكون الجهاز الظاهري IaaS قادرا على الاتصال بنقطة نهاية Microsoft Entra، [login.microsoftonline.com].
- لكتابة مفاتيح التشفير إلى مخزن رئيسي خاص بك، يجب أن يكون جهاز Linux الظاهري قادرًا على الاتصال بنقطة نهاية المخزن الرئيسي.
- يجب أن يكون IaaS VM قادرًا على الاتصال بنقطة نهاية تخزين Azure التي تستضيف مستودع ملحق Azure وحساب تخزين Azure الذي يستضيف ملفات VHD.
- إذا كان نهج الأمان الخاص بك يحد من الوصول من الأجهزة الظاهرية لـ Azure إلى الإنترنت، يمكنك حل "URL" السابقة وتكوين قاعدة معينة للسماح بالاتصال الصادر إلى عناوين IP. لمزيد من المعلومات، راجع Azure Key Vault خلف جدار حماية.
- يجب تكوين الجهاز الظاهري المراد تشفيره لاستخدام TLS 1.2 كبروتوكول افتراضي. إذا تم تعطيل TLS 1.0 بشكل صريح ولم يتم تحديث إصدار .NET إلى 4.6 أو أعلى، فإن تغيير السجل التالي سيمكن ADE من تحديد إصدار TLS الأحدث:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
نهج المجموعة:
يستخدم حل Azure Disk Encryption واقي المفتاح الخارجي BitLocker لنظام التشغيل Windows IaaS VMs. بالنسبة إلى الأجهزة الظاهرية التي انضم إليها المجال، لا تدفع أي نهج مجموعة تفرض حماة TPM. للحصول على معلومات حول نهج المجموعة الخاص ب "السماح ب BitLocker بدون TPM متوافق"، راجع مرجع نهج المجموعة BitLocker.
يجب أن يتضمن نهج BitLocker على الأجهزة الظاهرية المنضمة إلى المجال مع نهج المجموعة المخصص الإعداد التالي: تكوين تخزين المستخدم لمعلومات استرداد BitLocker -> السماح بمفتاح استرداد 256 بت. سوف يفشل Azure Disk Encryption عندما تكون إعدادات group policy المخصصة لـ BitLocker غير متوافقة. على الأجهزة التي لم يكن إعداد النهج الصحيح تطبيق النهج الجديد فرض النهج الجديد لتحديث (gpupdate.exe /force) ومن ثم قد تكون مطلوبة إعادة التشغيل.
متطلبات تخزين مفتاح التشفير
يتطلب تشفير القرص Azure Vault مفتاح Azure للتحكم في مفاتيح تشفير القرص والأسرار وإدارتها. يجب أن يكون المخزن الرئيسي والأجهزة الظاهرية موجودة في نفس منطقة واشتراك Azure.
للحصول على التفاصيل، راجع إنشاء مخزن مفاتيح وتكوينه تشفير قرص Azure باستخدام معرف Microsoft Entra (الإصدار السابق).