Azure Disk Encryption avec Azure AD (version précédente)

S’applique à : ✔️ Machine virtuelles Windows

La nouvelle version d’Azure Disk Encryption vous évite de fournir un paramètre d’application Microsoft Entra pour activer le chiffrement de disque de machine virtuelle. Avec la nouvelle version, vous n’êtes plus obligé de fournir les informations d’identification Microsoft Entra lors de l’étape d’activation du chiffrement. Avec la nouvelle version, toutes les nouvelles machines virtuelles doivent être chiffrées sans les paramètres d’application Microsoft Entra. Pour consulter les instructions d’activation du chiffrement de disque des machines virtuelles avec la nouvelle version, consultez l’article Azure Disk Encryption pour les machines virtuelles Windows. Les machines virtuelles déjà chiffrées avec les paramètres d’application Microsoft Entra sont toujours prises en charge et doivent être gérées avec la syntaxe Microsoft Entra.

Cet article complète l’article Azure Disk Encryption pour les machines virtuelles Windows. Il fournit des exigences et des prérequis supplémentaires pour Azure Disk Encryption avec Microsoft Entra ID (version précédente). La section Machines virtuelles et systèmes d’exploitation pris en charge reste inchangée.

Réseau et stratégie de groupe

Pour l’activation de la fonctionnalité Azure Disk Encryption utilisant l’ancienne syntaxe des paramètres Microsoft Entra, les machines virtuelles IaaS doivent répondre aux exigences de configuration de point de terminaison de réseau suivantes :

• Pour obtenir un jeton afin de se connecter à votre coffre de clés, la machine virtuelle IaaS doit être en mesure de se connecter à un point de terminaison Microsoft Entra, [login.microsoftonline.com].
• Pour écrire les clés de chiffrement dans votre coffre de clés, la machine virtuelle IaaS doit être en mesure de se connecter au point de terminaison Key Vault.
• La machine virtuelle IaaS doit être en mesure de se connecter au point de terminaison de stockage Azure qui héberge le référentiel d’extensions Azure et au compte de stockage Azure qui héberge les fichiers de disque dur virtuel.
• Si votre stratégie de sécurité limite l’accès à Internet à partir des machines virtuelles Azure, vous pouvez résoudre l’URI ci-dessus et configurer une règle spécifique pour autoriser les connexions sortantes vers les adresses IP. Pour plus d’informations, consultez l’article Azure Key Vault derrière un pare-feu.
• La machine virtuelle à chiffrer doit être configurée pour utiliser TLS 1.2 comme protocole par défaut. Si le protocole TLS 1.0 a été explicitement désactivé et que la version .NET n’a pas été mise à jour vers la version 4.6 ou une version supérieure, la modification suivante du Registre active ADE pour sélectionner la version la plus récente du protocole TLS :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Stratégie de groupe :

• La solution Azure Disk Encryption utilise le protecteur de clé externe BitLocker pour les machines virtuelles IaaS Windows. Pour les machines virtuelles jointes à un domaine, n’envoyez (push) pas de stratégies de groupe qui appliquent des protecteurs de Module de plateforme sécurisée (TPM). Pour en savoir plus sur la stratégie de groupe pour « Autoriser BitLocker sans module de plateforme sécurisée compatible », consultez la rubrique BitLocker Group Policy Reference (Référence de stratégie de groupe BitLocker).

• La stratégie Bitlocker sur les machines virtuelles jointes à un domaine avec une stratégie de groupe personnalisée doit inclure le paramètre suivant : Configurer le stockage par les utilisateurs des informations de récupération BitLocker -> Autoriser une clé de récupération de 256 bits. En cas d'incompatibilité des paramètres de la stratégie de groupe personnalisée de BitLocker, Azure Disk Encryption échouera. Sur les machines dont le paramètre de stratégie était incorrect, il peut être nécessaire d’appliquer la nouvelle stratégie, de forcer la mise à jour de cette dernière (gpupdate.exe /force), puis de procéder à un redémarrage.

Exigences liées au stockage des clés de chiffrement

Azure Disk Encryption exige Azure Key Vault pour contrôler et gérer les clés et les secrets de chiffrement de disque. Votre coffre de clés et vos machines virtuelles doivent se trouver dans la même région et le même abonnement Azure.

Pour plus d’informations, consultez Création et configuration d’un coffre de clés pour Azure Disk Encryption avec Microsoft Entra ID (version précédente).

Étapes suivantes

• Création et configuration d’un coffre de clés pour Azure Disk Encryption avec Microsoft Entra ID (version précédente)
• Activer Azure Disk Encryption avec Microsoft Entra ID sur des machines virtuelles Windows (version précédente)
• Script d’interface CLI des prérequis Azure Disk Encryption
• Script PowerShell des prérequis Azure Disk Encryption