Azure Disk Encryption s Microsoft Entra ID (předchozí verze)

Článek
24. 08. 2024

Platí pro: ✔️ Flexibilní škálovací sady virtuálních počítačů s Linuxem ✔️

Nová verze služby Azure Disk Encryption eliminuje požadavek na poskytnutí parametru aplikace Microsoft Entra pro povolení šifrování disků virtuálního počítače. V nové verzi už během kroku povolení šifrování nemusíte zadávat přihlašovací údaje Microsoft Entra. Všechny nové virtuální počítače musí být šifrované bez parametrů aplikace Microsoft Entra pomocí nové verze. Pokyny k povolení šifrování disků virtuálního počítače pomocí nové verze najdete v tématu Azure Disk Encryption pro virtuální počítače s Linuxem. Virtuální počítače, které už byly zašifrované pomocí parametrů aplikace Microsoft Entra, se stále podporují a měly by se dál udržovat pomocí syntaxe Microsoft Entra.

Tento článek obsahuje dodatky ke službě Azure Disk Encryption pro virtuální počítače s Linuxem s dalšími požadavky a požadavky pro Azure Disk Encryption s ID Microsoft Entra (předchozí verze).

Informace v těchto oddílech zůstávají stejné:

Sítě a zásady skupiny

Pokud chcete povolit funkci Azure Disk Encryption pomocí starší syntaxe parametrů Microsoft Entra, musí virtuální počítače infrastruktury jako služby (IaaS) splňovat následující požadavky na konfiguraci koncového bodu sítě:

Pokud chcete získat token pro připojení k trezoru klíčů, musí se virtuální počítač IaaS připojit ke koncovému bodu Microsoft Entra [login.microsoftonline.com].
Pokud chcete do trezoru klíčů zapisovat šifrovací klíče, musí se virtuální počítač IaaS připojit ke koncovému bodu trezoru klíčů.
Virtuální počítač IaaS musí být schopný se připojit ke koncovému bodu úložiště Azure, který je hostitelem úložiště rozšíření Azure, a účtu úložiště Azure, který je hostitelem souborů VHD.
Pokud vaše zásady zabezpečení omezují přístup z virtuálních počítačů Azure na internet, můžete přeložit předchozí identifikátor URI a nakonfigurovat konkrétní pravidlo, které povolí odchozí připojení k IP adresám. Další informace najdete v tématu Azure Key Vault za bránou firewall.
Pokud je ve Windows explicitně zakázaný protokol TLS 1.0 a verze .NET se neaktualizuje na verzi 4.6 nebo vyšší, následující změna registru umožňuje službě Azure Disk Encryption vybrat novější verzi protokolu TLS:

config-registry

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`

Zásady skupiny

Řešení Azure Disk Encryption používá ochranu externího klíče BitLockeru pro virtuální počítače IaaS s Windows. U virtuálních počítačů připojených k doméně nenasdílejte žádné zásady skupiny, které vynucují ochranu čipem TPM. Informace o zásadách skupiny pro možnost Povolit BitLocker bez kompatibilního čipu TPM naleznete v tématu Referenční informace o zásadách skupiny nástroje BitLocker.
Zásady BitLockeru na virtuálních počítačích připojených k doméně s vlastními zásadami skupiny musí obsahovat následující nastavení: Nakonfigurujte uživatelské úložiště informací o obnovení BitLockeru –> Povolit 256bitový obnovovací klíč. Azure Disk Encryption selže, když jsou vlastní nastavení zásad skupiny pro BitLocker nekompatibilní. Na počítačích, které nemají správné nastavení zásad, použijte novou zásadu, vynuťte aktualizaci nové zásady (gpupdate.exe /force) a v případě potřeby restartujte.

Požadavky na úložiště šifrovacích klíčů

Azure Disk Encryption vyžaduje, aby služba Azure Key Vault řídila a spravuje šifrovací klíče a tajné kódy disků. Váš trezor klíčů a virtuální počítače se musí nacházet ve stejné oblasti a předplatném Azure.

Další informace najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption s id Microsoft Entra (předchozí verze).

Další kroky

Další materiály

Školení

Modul

Zabezpečení disků virtuálních počítačů Azure - Training

Prozkoumejte možnosti služby Azure Disk Encryption pro šifrování operačního systému a datových disků ve stávajících a nových virtuálních počítačích.

Certifikace

Microsoft Certified: Specializace pro Azure Virtual Desktop - Certifications

Plánování, doručování, správa a monitorování prostředí virtuálních ploch a vzdálených aplikací v Microsoft Azure pro libovolné zařízení

Dokumentace

Azure Disk Encryption s virtuálními počítači IaaS aplikace Microsoft Entra pro Linux (předchozí verze) - Azure Virtual Machines

Tento článek obsahuje pokyny k povolení služby Microsoft Azure Disk Encryption pro virtuální počítače IaaS s Linuxem.
Vytvoření a šifrování virtuálního počítače s Linuxem s využitím Azure PowerShellu - Azure Virtual Machines

V tomto rychlém startu se dozvíte, jak pomocí Azure PowerShellu vytvořit a šifrovat virtuální počítač s Linuxem.
Scénáře použití služby Azure Disk Encryption na virtuálních počítačích se systémem Linux - Azure Virtual Machines

Tento článek obsahuje pokyny k povolení služby Microsoft Azure Disk Encryption pro virtuální počítače s Linuxem pro různé scénáře.
Vytvoření a šifrování virtuálního počítače s Linuxem s využitím webu Azure Portal - Azure Virtual Machines

V tomto rychlém startu se dozvíte, jak pomocí webu Azure Portal vytvořit a šifrovat virtuální počítač s Linuxem.
Vytvoření a šifrování virtuálního počítače s Linuxem s využitím Azure CLI - Azure Virtual Machines

V tomto rychlém startu se dozvíte, jak pomocí Azure CLI vytvořit a šifrovat virtuální počítač s Linuxem.
Ukázkové skripty pro službu Azure Disk Encryption - Azure Virtual Machines

Tento článek je dodatkem pro Službu Microsoft Azure Disk Encryption pro virtuální počítače s Linuxem.
Vytvoření a konfigurace trezoru klíčů pro službu Azure Disk Encryption - Azure Virtual Machines

Tento článek obsahuje postup vytvoření a konfigurace trezoru klíčů pro použití se službou Azure Disk Encryption na virtuálním počítači s Linuxem.

Sdílet prostřednictvím