Azure Disk Encryption con Azure AD (versión anterior)
Se aplica a: ✔️ Máquinas virtuales Windows
La nueva versión de Azure Disk Encryption elimina la necesidad de proporcionar un parámetro de aplicación de Microsoft Entra para habilitar el cifrado de disco de máquina virtual. Con la nueva versión, ya no hace falta especificar las credenciales de Microsoft Entra en el paso de habilitación del cifrado. Con esta nueva versión, todas las máquinas virtuales nuevas se deben cifrar sin parámetros de aplicación de Microsoft Entra. Para conocer las instrucciones necesarias para habilitar el cifrado de disco de máquina virtual mediante la nueva versión, consulte Azure Disk Encryption para máquinas virtuales Windows. Las máquinas virtuales que ya se habían cifrado con parámetros de la aplicación de Microsoft Entra siguen siendo compatibles y deben continuar manteniéndose con la sintaxis de Microsoft Entra.
Este artículo complementa el artículo Azure Disk Encryption para máquinas virtuales Windows, ya que incluye con requisitos adicionales y requisitos previos para Azure Disk Encryption con Microsoft Entra ID (versión anterior). La sección Máquinas virtuales y sistemas operativos compatibles no cambia.
Redes y directiva de grupo
Para habilitar la característica Azure Disk Encryption con la sintaxis de parámetro de Microsoft Entra anterior, las máquinas virtuales IaaS deben cumplir los siguientes requisitos de configuración de puntos de conexión de red:
- Para que un token se conecte al almacén de claves, la máquina virtual de IaaS debe poder conectarse a un punto de conexión de Microsoft Entra ID, [login.microsoftonline.com].
- Para escribir las claves de cifrado en el almacén de claves, la máquina virtual IaaS debe poder conectarse al punto de conexión del almacén de claves.
- La máquina virtual IaaS debe poder conectarse al punto de conexión de Azure Storage que hospeda el repositorio de extensiones de Azure y la cuenta de Azure Storage que hospeda los archivos VHD.
- Si su directiva de seguridad limita el acceso desde máquinas virtuales de Azure a Internet, puede resolver el URI anterior y configurar una regla concreta para permitir la conectividad de salida para las direcciones IP. Para más información, consulte Azure Key Vault detrás de un firewall.
- La máquina virtual que se va a cifrar debe estar configurada para usar TLS 1.2 como el protocolo predeterminado. Si TLS 1.0 se deshabilitó explícitamente y la versión de .NET no se ha actualizado a 4.6 o posterior, el siguiente cambio en el registro habilitará ADE para seleccionar la versión más reciente de TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
Directiva de grupo:
La solución Azure Disk Encryption usa el protector de claves externas de BitLocker para máquinas virtuales IaaS con Windows. Para las máquinas virtuales unidas en un dominio, no cree ninguna directiva de grupo que exija protectores de TPM. Para obtener información acerca de la directiva de grupo para "Permitir BitLocker sin un TPM compatible", consulte la Referencia de la directiva de grupo de BitLocker.
La directiva de BitLocker en las máquinas virtuales unidas a un dominio con una directiva de grupo personalizada debe incluir la siguiente configuración: Configure user storage of bitlocker recovery information -> Allow 256-bit recovery key. (Configurar el almacenamiento de usuario de la información de recuperación de BitLocker -> Permitir clave de recuperación de 256 bits). Azure Disk Encryption presentará un error cuando la configuración de la directiva de grupo personalizada para BitLocker sea incompatible. En máquinas que no tengan la configuración de directiva correcta, puede que sea necesario aplicar la nueva directiva, forzar la nueva directiva a actualizarse (gpupdate.exe /force) y luego reiniciar.
Requisitos de almacenamiento de la clave de cifrado
Azure Disk Encryption requiere Azure Key Vault para controlar y administrar las claves y los secretos de cifrado de discos. El almacén de claves y las máquinas virtuales deben residir en la misma región y suscripción de Azure.
Para más información, consulteCreación y configuración de un almacén de claves para Azure Disk Encryption con Microsoft Entra ID (versión anterior).
Pasos siguientes
- Creación y configuración de un almacén de claves para Azure Disk Encryption con Microsoft Entra ID (versión anterior)
- Habilitación de Azure Disk Encryption con Microsoft Entra ID en máquinas virtuales Windows (versión anterior)
- Script de la CLI de requisitos previos de Azure Disk Encryption
- Script de PowerShell de requisitos previos de Azure Disk Encryption