Azure Disk Encryption s Microsoft Entra ID (předchozí verze)

  • Článek

Platí pro: ✔️ Flexibilní škálovací sady virtuálních počítačů s Linuxem ✔️

Nová verze služby Azure Disk Encryption eliminuje požadavek na poskytnutí parametru aplikace Microsoft Entra pro povolení šifrování disků virtuálního počítače. V nové verzi už během kroku povolení šifrování nemusíte zadávat přihlašovací údaje Microsoft Entra. Všechny nové virtuální počítače musí být šifrované bez parametrů aplikace Microsoft Entra pomocí nové verze. Pokyny k povolení šifrování disků virtuálního počítače pomocí nové verze najdete v tématu Azure Disk Encryption pro virtuální počítače s Linuxem. Virtuální počítače, které už byly zašifrované pomocí parametrů aplikace Microsoft Entra, se stále podporují a měly by se dál udržovat pomocí syntaxe Microsoft Entra.

Tento článek obsahuje dodatky ke službě Azure Disk Encryption pro virtuální počítače s Linuxem s dalšími požadavky a požadavky pro Azure Disk Encryption s ID Microsoft Entra (předchozí verze).

Informace v těchto oddílech zůstávají stejné:

Sítě a zásady skupiny

Pokud chcete povolit funkci Azure Disk Encryption pomocí starší syntaxe parametrů Microsoft Entra, musí virtuální počítače infrastruktury jako služby (IaaS) splňovat následující požadavky na konfiguraci koncového bodu sítě:

  • Pokud chcete získat token pro připojení k trezoru klíčů, musí se virtuální počítač IaaS připojit ke koncovému bodu Microsoft Entra [login.microsoftonline.com].
  • Pokud chcete do trezoru klíčů zapisovat šifrovací klíče, musí se virtuální počítač IaaS připojit ke koncovému bodu trezoru klíčů.
  • Virtuální počítač IaaS musí být schopný se připojit ke koncovému bodu úložiště Azure, který je hostitelem úložiště rozšíření Azure, a účtu úložiště Azure, který je hostitelem souborů VHD.
  • Pokud vaše zásady zabezpečení omezují přístup z virtuálních počítačů Azure na internet, můžete přeložit předchozí identifikátor URI a nakonfigurovat konkrétní pravidlo, které povolí odchozí připojení k IP adresám. Další informace najdete v tématu Azure Key Vault za bránou firewall.
  • Pokud je ve Windows explicitně zakázaný protokol TLS 1.0 a verze .NET se neaktualizuje na verzi 4.6 nebo vyšší, následující změna registru umožňuje službě Azure Disk Encryption vybrat novější verzi protokolu TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`

Zásady skupiny

  • Řešení Azure Disk Encryption používá ochranu externího klíče BitLockeru pro virtuální počítače IaaS s Windows. U virtuálních počítačů připojených k doméně nenasdílejte žádné zásady skupiny, které vynucují ochranu čipem TPM. Informace o zásadách skupiny pro možnost Povolit BitLocker bez kompatibilního čipu TPM naleznete v tématu Referenční informace o zásadách skupiny nástroje BitLocker.

  • Zásady BitLockeru na virtuálních počítačích připojených k doméně s vlastními zásadami skupiny musí obsahovat následující nastavení: Nakonfigurujte uživatelské úložiště informací o obnovení BitLockeru –> Povolit 256bitový obnovovací klíč. Azure Disk Encryption selže, když jsou vlastní nastavení zásad skupiny pro BitLocker nekompatibilní. Na počítačích, které nemají správné nastavení zásad, použijte novou zásadu, vynuťte, aby se nová zásada aktualizovala (gpupdate.exe /force) a pak restartujte, pokud je to potřeba.

Požadavky na úložiště šifrovacích klíčů

Azure Disk Encryption vyžaduje, aby služba Azure Key Vault řídila a spravuje šifrovací klíče a tajné kódy disků. Váš trezor klíčů a virtuální počítače se musí nacházet ve stejné oblasti a předplatném Azure.

Další informace najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption s id Microsoft Entra (předchozí verze).

Další kroky