Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
15. září 2028 je naplánované vyřazení služby Azure Disk Encryption. Do tohoto data můžete dál používat Službu Azure Disk Encryption bez přerušení. 15. září 2028 se úlohy s podporou ADE budou dál spouštět, ale šifrované disky se po restartování virtuálního počítače nepodaří odemknout, což vede k přerušení služeb.
Pro nové virtuální počítače používejte šifrování na hostiteli nebo zvažte velikosti důvěrných virtuálních počítačů s šifrováním disku s operačním systémem pro důvěrné výpočetní úlohy. Všechny virtuální počítače s podporou ADE (včetně záloh) se musí migrovat na šifrování na hostiteli před datem vyřazení, aby nedošlo k přerušení služeb. Podrobnosti najdete v tématu Migrace ze služby Azure Disk Encryption na šifrování na hostiteli .
Platí pro: ✔️ Virtuální počítače s Windows
Nová verze služby Azure Disk Encryption eliminuje požadavek na poskytnutí parametru aplikace Microsoft Entra pro povolení šifrování disků virtuálního počítače. V nové verzi už během kroku povolení šifrování nemusíte zadávat přihlašovací údaje Microsoft Entra. Všechny nové virtuální počítače musí být šifrované bez parametrů aplikace Microsoft Entra pomocí nové verze. Pokyny k povolení šifrování disků virtuálního počítače pomocí nové verze najdete v tématu Azure Disk Encryption pro virtuální počítače s Windows. Virtuální počítače, které už byly zašifrované pomocí parametrů aplikace Microsoft Entra, se stále podporují a měly by se dál udržovat pomocí syntaxe Microsoft Entra.
Tento článek doplňuje službu Azure Disk Encryption pro virtuální počítače s Windows dalšími požadavky a požadavky pro službu Azure Disk Encryption s Id Microsoft Entra (předchozí verze). Část Podporované virtuální počítače a operační systémy zůstávají stejné.
Sítě a zásady skupiny
Pokud chcete povolit funkci Azure Disk Encryption pomocí starší syntaxe parametrů Microsoft Entra, musí virtuální počítače IaaS splňovat následující požadavky na konfiguraci koncového bodu sítě:
- Pokud chcete získat token pro připojení k trezoru klíčů, musí se virtuální počítač IaaS připojit ke koncovému bodu Microsoft Entra [login.microsoftonline.com].
- Pokud chcete do trezoru klíčů zapisovat šifrovací klíče, musí se virtuální počítač IaaS připojit ke koncovému bodu trezoru klíčů.
- Virtuální počítač IaaS musí být schopný se připojit ke koncovému bodu úložiště Azure, který je hostitelem úložiště rozšíření Azure, a účtu úložiště Azure, který je hostitelem souborů VHD.
- Pokud vaše zásady zabezpečení omezují přístup z virtuálních počítačů Azure na internet, můžete přeložit předchozí identifikátor URI a nakonfigurovat konkrétní pravidlo, které povolí odchozí připojení k IP adresám. Další informace najdete v tématu Azure Key Vault za firewallem.
- Virtuální počítač, který se má šifrovat, musí být nakonfigurovaný tak, aby jako výchozí protokol používal protokol TLS 1.2. Pokud je protokol TLS 1.0 explicitně zakázaný a verze .NET nebyla aktualizována na verzi 4.6 nebo vyšší, následující změna registru umožní ADE vybrat novější verzi protokolu TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
Zásady skupiny:
Řešení Azure Disk Encryption používá ochranu externího klíče BitLockeru pro virtuální počítače IaaS s Windows. Pro virtuální počítače připojené k doméně neaplikujte žádné zásady skupiny, které vynucují ochranu TPM. Informace o zásadách skupiny pro povolení BitLockeru bez kompatibilního čipu TPM najdete v tématu Referenční informace o zásadách skupiny nástroje BitLocker.
Zásady BitLockeru na virtuálních počítačích připojených k doméně s vlastními zásadami skupiny musí obsahovat následující nastavení: Nakonfigurujte uživatelské úložiště informací o obnovení BitLockeru –> Povolit 256bitový obnovovací klíč. Azure Disk Encryption selže, když jsou vlastní nastavení skupinových zásad pro BitLocker nekompatibilní. Na počítačích, které nemají správné nastavení zásad, použijte novou zásadu, vynuťte aktualizaci nové zásady (gpupdate.exe /force) a pak se může vyžadovat restartování.
Požadavky na úložiště šifrovacích klíčů
Azure Disk Encryption vyžaduje, aby služba Azure Key Vault řídila a spravuje šifrovací klíče a tajné kódy disků. Váš trezor klíčů a virtuální počítače se musí nacházet ve stejné oblasti a předplatném Azure.
Podrobnosti najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Azure Disk Encryption s ID Microsoft Entra (předchozí verze).
Další kroky
- Vytvoření a konfigurace trezoru klíčů pro Azure Disk Encryption s ID Microsoft Entra (předchozí verze)
- Povolení služby Azure Disk Encryption s ID Microsoft Entra na virtuálních počítačích s Windows (předchozí verze)
- Skript CLI pro zajištění požadavků šifrování disku Azure
- Předpoklady pro powershellový skript služby Azure Disk Encryption