Azure Disk Encryption s Azure Active Directory (AD) (předchozí verze)

Platí pro: virtuální počítače s ✔️ Linux ✔️ flexibilní sady škálování

nová vydaná verze Azure Disk Encryption eliminuje požadavek na poskytnutí parametru aplikace Azure Active Directory (Azure AD) pro povolení šifrování disku virtuálního počítače. V nové verzi už nebudete muset zadávat přihlašovací údaje Azure AD během kroku povolení šifrování. Všechny nové virtuální počítače musí být zašifrované bez parametrů aplikace Azure AD pomocí nové vydané verze. Pokyny k povolení šifrování disku virtuálního počítače pomocí nové verze najdete v tématu Azure Disk Encryption pro virtuální počítače se systémem Linux. virtuální počítače, které jsou už šifrované pomocí parametrů aplikace Azure AD, se pořád podporují a měly by se udržovat dál se syntaxí AAD.

Tento článek popisuje doplňky Azure Disk Encryption pro virtuální počítače se systémem Linux s dalšími požadavky a požadavky pro Azure Disk Encryption s Azure AD (předchozí verze).

Informace v těchto oddílech zůstávají stejné:

Sítě a Zásady skupiny

pokud chcete funkci Azure Disk Encryption povolit pomocí starší syntaxe parametrů AAD, virtuální počítače infrastruktury jako služby (IaaS) musí splňovat následující požadavky konfigurace koncového bodu sítě:

  • K získání tokenu pro připojení k trezoru klíčů musí být virtuální počítač IaaS schopný připojit se ke koncovému bodu Azure AD, [login.microsoftonline.com].
  • Aby bylo možné zapsat šifrovací klíče do trezoru klíčů, musí být virtuální počítač IaaS schopný připojit se ke koncovému bodu trezoru klíčů.
  • Virtuální počítač IaaS musí být schopný se připojit ke koncovému bodu Azure Storage, který hostuje úložiště rozšíření Azure a účet úložiště Azure, který hostuje soubory VHD.
  • Pokud vaše zásada zabezpečení omezuje přístup z virtuálních počítačů Azure na Internet, můžete přeložit předchozí identifikátor URI a nakonfigurovat konkrétní pravidlo tak, aby umožňovalo odchozí připojení k IP adresám. Další informace najdete v tématu Azure Key Vault za bránou firewall.
  • pokud je v Windows explicitně zakázaná možnost TLS 1,0 a verze .net se neaktualizuje na 4,6 nebo novější, umožní tato změna registru Azure Disk Encryption vybrat novější verzi protokolu TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Zásady skupiny

  • řešení Azure Disk Encryption používá ochranu pomocí externího klíče bitlockeru pro virtuální počítače s Windows IaaS. Pro virtuální počítače připojené k doméně neinstalujte žádné zásady skupiny, které vynutily ochranu čipem TPM. Informace o Zásady skupiny možnosti Povolení BitLockeru bez kompatibilního čipu TPMnajdete v tématu Zásady skupiny BitLockeru.

  • Zásady BitLockeru na virtuálních počítačích připojených k doméně s vlastním Zásady skupiny musí zahrnovat následující nastavení: Konfigurace úložiště informací pro obnovení BitLockeru – > Povolení 256ho obnovovacího klíče pro uživatele. Azure Disk Encryption se nezdařila, pokud je nastavení vlastního Zásady skupiny BitLockeru nekompatibilní. V počítačích, které nemají správné nastavení zásad, použijte novou zásadu, vynutí aktualizaci nové zásady (gpupdate.exe/Force) a pak se v případě potřeby restartuje.

Požadavky na úložiště šifrovacího klíče

Azure Disk Encryption vyžaduje Azure Key Vault k řízení a správě šifrovacích klíčů a tajných klíčů disku. Váš Trezor klíčů a virtuální počítače se musí nacházet ve stejné oblasti a předplatném Azure.

Další informace najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Azure Disk Encryption s Azure AD (předchozí verze).

Další kroky