Azure Disk Encryption s Microsoft Entra ID (předchozí verze)

Důležité

15. září 2028 je naplánované vyřazení služby Azure Disk Encryption. Do tohoto data můžete dál používat Službu Azure Disk Encryption bez přerušení. 15. září 2028 se úlohy s podporou ADE budou dál spouštět, ale šifrované disky se po restartování virtuálního počítače nepodaří odemknout, což vede k přerušení služeb.

Pro nové virtuální počítače používejte šifrování na hostiteli . Všechny virtuální počítače s podporou ADE (včetně záloh) se musí migrovat na šifrování na hostiteli před datem vyřazení, aby nedošlo k přerušení služeb. Podrobnosti najdete v tématu Migrace ze služby Azure Disk Encryption na šifrování na hostiteli .

Platí pro: ✔️ Flexibilní škálovací sady virtuálních počítačů s Linuxem ✔️

Nová verze služby Azure Disk Encryption eliminuje požadavek na poskytnutí parametru aplikace Microsoft Entra pro povolení šifrování disků virtuálního počítače. V nové verzi už během kroku povolení šifrování nemusíte zadávat přihlašovací údaje Microsoft Entra. Všechny nové virtuální počítače musí být šifrované bez parametrů aplikace Microsoft Entra pomocí nové verze. Pokyny k povolení šifrování disků virtuálního počítače pomocí nové verze najdete v tématu Azure Disk Encryption pro virtuální počítače s Linuxem. Virtuální počítače, které už byly zašifrované pomocí parametrů aplikace Microsoft Entra, se stále podporují a měly by se dál udržovat pomocí syntaxe Microsoft Entra.

Tento článek obsahuje dodatky ke službě Azure Disk Encryption pro virtuální počítače s Linuxem s dalšími požadavky a požadavky pro Azure Disk Encryption s ID Microsoft Entra (předchozí verze).

Informace v těchto oddílech zůstávají stejné:

• Podporované virtuální počítače a operační systémy
• Další požadavky na virtuální počítač

Sítě a zásady skupiny

Pokud chcete povolit funkci Azure Disk Encryption pomocí starší syntaxe parametrů Microsoft Entra, musí virtuální počítače infrastruktury jako služby (IaaS) splňovat následující požadavky na konfiguraci koncového bodu sítě:

• Pokud chcete získat token pro připojení k trezoru klíčů, musí se virtuální počítač IaaS připojit ke koncovému bodu Microsoft Entra [login.microsoftonline.com].
• Pokud chcete do trezoru klíčů zapisovat šifrovací klíče, musí se virtuální počítač IaaS připojit ke koncovému bodu trezoru klíčů.
• Virtuální počítač IaaS musí být schopný se připojit ke koncovému bodu úložiště Azure, který je hostitelem úložiště rozšíření Azure, a účtu úložiště Azure, který je hostitelem souborů VHD.
• Pokud vaše zásady zabezpečení omezují přístup z virtuálních počítačů Azure na internet, můžete přeložit předchozí identifikátor URI a nakonfigurovat konkrétní pravidlo, které povolí odchozí připojení k IP adresám. Další informace najdete v tématu Azure Key Vault za firewallem.
• Pokud je ve Windows explicitně zakázaný protokol TLS 1.0 a verze .NET se neaktualizuje na verzi 4.6 nebo vyšší, následující změna registru umožňuje službě Azure Disk Encryption vybrat novější verzi protokolu TLS:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Zásady skupiny

• Řešení Azure Disk Encryption používá ochranu externího klíče BitLockeru pro virtuální počítače IaaS s Windows. U virtuálních počítačů připojených k doméně neaplikujte žádné Zásady skupiny, které vynucují ochranné prvky TPM. Informace o zásadách skupiny pro možnost Povolit BitLocker bez kompatibilního čipu TPM naleznete v referenčním dokumentu Zásady skupiny BitLocker.

• Zásady BitLockeru na virtuálních počítačích připojených k doméně s vlastními zásadami skupiny musí obsahovat následující nastavení: Nakonfigurujte uživatelské úložiště informací o obnovení BitLockeru –> Povolit 256bitový obnovovací klíč. Azure Disk Encryption selže, když jsou vlastní nastavení zásad skupiny pro BitLocker nekompatibilní. Na počítačích, které nemají správné nastavení zásad, použijte novou zásadu, vynuťte aktualizaci nové zásady (gpupdate.exe /force) a v případě potřeby restartujte.

Požadavky na úložiště šifrovacích klíčů

Azure Disk Encryption vyžaduje, aby služba Azure Key Vault řídila a spravuje šifrovací klíče a tajné kódy disků. Váš trezor klíčů a virtuální počítače se musí nacházet ve stejné oblasti a předplatném Azure.

Další informace najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption s id Microsoft Entra (předchozí verze).

Další kroky

• Vytvoření a konfigurace trezoru klíčů pro Azure Disk Encryption s ID Microsoft Entra (předchozí verze)
• Povolení služby Azure Disk Encryption s ID Microsoft Entra na virtuálních počítačích s Linuxem (předchozí verze)
• Skript CLI pro zajištění požadavků šifrování disku Azure
• Předpoklady pro powershellový skript služby Azure Disk Encryption