Azure Disk Encryption És Microsoft Entra ID (korábbi kiadás)
A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai
Az Azure Disk Encryption új kiadása szükségtelenné teszi a Microsoft Entra alkalmazásparaméter biztosítását a virtuálisgép-lemez titkosításának engedélyezéséhez. Az új kiadással már nem kell megadnia a Microsoft Entra hitelesítő adatait az engedélyezési titkosítási lépés során. Az új kiadással minden új virtuális gépet titkosítani kell a Microsoft Entra alkalmazásparaméterek nélkül. A virtuális gépek lemeztitkosításának az új kiadással történő engedélyezésével kapcsolatos utasításokért tekintse meg a Linux rendszerű virtuális gépekhez készült Azure Disk Encryptiont. A Microsoft Entra alkalmazásparaméterekkel már titkosított virtuális gépek továbbra is támogatottak, és továbbra is a Microsoft Entra szintaxissal kell fenntartani őket.
Ez a cikk kiegészítéseket tartalmaz a Linux rendszerű virtuális gépekhez készült Azure Disk Encryptionhez, és további követelményeket és előfeltételeket tartalmaz az Azure Disk Encryptionhez a Microsoft Entra ID azonosítóval (korábbi kiadás).
Az ezekben a szakaszokban szereplő információk változatlanok maradnak:
Hálózatkezelés és csoportházirend
Ahhoz, hogy az Azure Disk Encryption funkció a régebbi Microsoft Entra paraméterszintaxis használatával engedélyezve legyen, az infrastruktúra szolgáltatásként (IaaS) rendelkező virtuális gépeknek meg kell felelniük a következő hálózati végpontkonfigurációs követelményeknek:
- A kulcstartóhoz való csatlakozás jogkivonatának lekéréséhez az IaaS virtuális gépnek csatlakoznia kell egy Microsoft Entra-végponthoz ([login.microsoftonline.com].
- Ahhoz, hogy a titkosítási kulcsokat a kulcstartóba írja, az IaaS virtuális gépnek képesnek kell lennie csatlakozni a kulcstartó végpontjához.
- Az IaaS virtuális gépnek képesnek kell lennie csatlakozni egy Azure Storage-végponthoz, amely az Azure-bővítménytárházat és egy Azure Storage-fiókot üzemeltet, amely a VHD-fájlokat tárolja.
- Ha a biztonsági szabályzat korlátozza az Azure-beli virtuális gépek internethez való hozzáférését, feloldhatja az előző URI-t, és konfigurálhat egy adott szabályt, amely engedélyezi a kimenő kapcsolatot az IP-címekhez. További információ: Azure Key Vault tűzfal mögött.
- Windows rendszeren, ha a TLS 1.0 kifejezetten le van tiltva, és a .NET-verzió nem frissül a 4.6-os vagy újabb verzióra, a következő beállításjegyzék-módosítás lehetővé teszi, hogy az Azure Disk Encryption a legújabb TLS-verziót válassza:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
Csoportházirend
Az Azure Disk Encryption megoldás a BitLocker külső kulcsvédőt használja Windows IaaS rendszerű virtuális gépekhez. Tartományhoz csatlakoztatott virtuális gépek esetén ne küldjön le olyan csoportházirendeket, amelyek TPM-védőket kényszerítenek ki. A BitLocker engedélyezése kompatibilis TPM nélkül beállítás csoportházirend-beállításával kapcsolatos információkért tekintse meg a BitLocker csoportházirend-referenciáját.
Az egyéni csoportházirenddel rendelkező tartományhoz csatlakoztatott virtuális gépek BitLocker-házirendjének tartalmaznia kell a következő beállítást: A BitLocker helyreállítási adatainak felhasználói tárolójának konfigurálása –> 256 bites helyreállítási kulcs engedélyezése. Az Azure Disk Encryption meghiúsul, ha a BitLocker egyéni csoportházirend-beállításai nem kompatibilisek. Olyan gépeken, amelyek nem rendelkeznek a megfelelő házirend-beállítással, alkalmazza az új házirendet, kényszerítse az új szabályzat frissítését (gpupdate.exe /force), majd szükség esetén indítsa újra.
A titkosítási kulcs tárhelyével kapcsolatos követelmények
Az Azure Disk Encryption megköveteli, hogy az Azure Key Vault szabályozza és kezelje a lemeztitkosítási kulcsokat és titkos kulcsokat. A kulcstartónak és a virtuális gépeknek ugyanabban az Azure-régióban és -előfizetésben kell lenniük.
További információ: Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez a Microsoft Entra ID azonosítójával (korábbi kiadás).
Következő lépések
- Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez a Microsoft Entra-azonosítóval (korábbi kiadás)
- Az Azure Disk Encryption engedélyezése Microsoft Entra-azonosítóval Linux rendszerű virtuális gépeken (korábbi kiadás)
- Az Azure Disk Encryption előfeltételeinek parancssori felületi szkriptje
- Az Azure Disk Encryption előfeltételei PowerShell-szkript