Compartir vía


Azure Disk Encryption con Microsoft Entra ID (versión anterior)

Se aplica a: ✔️ máquinas virtuales Linux ✔️ conjuntos de escalado flexibles

La nueva versión de Azure Disk Encryption elimina la necesidad de proporcionar un parámetro de aplicación de Microsoft Entra para habilitar el cifrado de disco de máquina virtual. Con la nueva versión, ya no es necesario proporcionar credenciales de Microsoft Entra durante el paso de habilitar el cifrado. Todas las máquinas virtuales nuevas se deben cifrar sin los parámetros de aplicación de Microsoft Entra con la nueva versión. Para ver las instrucciones sobre cómo habilitar el cifrado de disco de máquina virtual con la nueva versión, consulte Azure Disk Encryption para máquinas virtuales Linux. Las máquinas virtuales que ya se habían cifrado con parámetros de aplicación de Microsoft Entra se siguen admitiendo y deben continuar manteniéndose con la sintaxis de Microsoft Entra.

Este artículo sirve de complemento al artículo Azure Disk Encryption para máquinas virtuales Linux con requisitos adicionales y requisitos previos para Azure Disk Encryption con Microsoft Entra ID (versión anterior).

La información de estas secciones sigue siendo la misma:

Redes y directiva de grupo

Para habilitar la característica Azure Disk Encryption con la sintaxis de parámetro de Microsoft Entra anterior, las máquinas virtuales de infraestructura como servicio (IaaS) deben cumplir los siguientes requisitos de configuración de puntos de conexión de red:

  • Para que un token se conecte al almacén de claves, la máquina virtual de IaaS debe poder conectarse a un punto de conexión de Microsoft Entra, [login.microsoftonline.com].
  • Para escribir las claves de cifrado en el almacén de claves, la máquina virtual IaaS debe poder conectarse al punto de conexión del almacén de claves.
  • La máquina virtual IaaS debe poder conectarse al punto de conexión de Azure Storage que hospeda el repositorio de extensiones de Azure y la cuenta de Azure Storage que hospeda los archivos VHD.
  • Si su directiva de seguridad limita el acceso desde máquinas virtuales de Azure a Internet, puede resolver el URI anterior y configurar una regla concreta para permitir la conectividad de salida para las direcciones IP. Para más información, consulte Azure Key Vault detrás de un firewall.
  • En Windows, si se deshabilitó explícitamente TLS 1.0 y la versión de .NET no se ha actualizado a la 4.6 o posterior, el siguiente cambio en el registro habilitará Azure Disk Encryption para seleccionar la versión más reciente de TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Directiva de grupo

  • La solución Azure Disk Encryption usa el protector de claves externas de BitLocker para máquinas virtuales IaaS con Windows. Para las máquinas virtuales unidas en un dominio, no cree ninguna directiva de grupo que exija protectores de TPM. Para obtener información acerca de la directiva de grupo para la opción Permitir BitLocker sin un TPM compatible, consulte la Referencia de la directiva de grupo de BitLocker.

  • La directiva de BitLocker en las máquinas virtuales unidas a un dominio con una directiva de grupo personalizada debe incluir la siguiente configuración: Configurar el almacenamiento de usuario de la información de recuperación de BitLocker -> Permitir clave de recuperación de 256 bits. Azure Disk Encryption presenta un error cuando la configuración de la directiva de grupo personalizada para BitLocker es incompatible. En máquinas que no tienen la configuración de directiva correcta, aplique la nueva directiva, fuerce a esta a actualizarse (gpupdate.exe /force) y luego reinicie.

Requisitos de almacenamiento de la clave de cifrado

Azure Disk Encryption requiere Azure Key Vault para controlar y administrar las claves y los secretos de cifrado de discos. El almacén de claves y las máquinas virtuales deben residir en la misma región y suscripción de Azure.

Para más información, consulte Creación y configuración de un almacén de claves para Azure Disk Encryption con Microsoft Entra ID (versión anterior).

Pasos siguientes