Azure Disk Encryption az Azure AD-vel (korábbi kiadás)

  • Cikk

A következőkre vonatkozik: ✔️ Windows rendszerű virtuális gépek

Az Azure Disk Encryption új kiadása szükségtelenné teszi a Microsoft Entra alkalmazásparaméter biztosítását a virtuálisgép-lemez titkosításának engedélyezéséhez. Az új kiadással már nem kell megadnia a Microsoft Entra hitelesítő adatait az engedélyezési titkosítási lépés során. Az új kiadással minden új virtuális gépet titkosítani kell a Microsoft Entra alkalmazásparaméterei nélkül. A virtuálisgép-lemeztitkosítás új kiadással történő engedélyezésére vonatkozó utasításokat a Windows rendszerű virtuális gépek Azure Disk Encryption című témakörben tekintheti meg. A Microsoft Entra alkalmazásparaméterekkel már titkosított virtuális gépek továbbra is támogatottak, és továbbra is a Microsoft Entra szintaxissal kell fenntartani őket.

Ez a cikk kiegészíti a Windows rendszerű virtuális gépekHez készült Azure Disk Encryptiont az Azure Disk Encryption és a Microsoft Entra ID (korábbi kiadás) további követelményeivel és előfeltételeivel. A támogatott virtuális gépek és operációs rendszerek szakasz változatlan marad.

Hálózatkezelés és csoportházirend

Az Azure Disk Encryption funkciónak a Microsoft Entra régebbi paraméterszintaxisával való engedélyezéséhez az IaaS virtuális gépeknek meg kell felelniük a következő hálózati végpontkonfigurációs követelményeknek:

  • A kulcstartóhoz való csatlakozás jogkivonatának lekéréséhez az IaaS virtuális gépnek csatlakoznia kell egy Microsoft Entra-végponthoz ([login.microsoftonline.com].
  • Ahhoz, hogy a titkosítási kulcsokat a kulcstartóba írja, az IaaS virtuális gépnek képesnek kell lennie csatlakozni a kulcstartó végpontjához.
  • Az IaaS virtuális gépnek képesnek kell lennie csatlakozni egy Azure Storage-végponthoz, amely az Azure-bővítménytárházat és egy Azure Storage-fiókot üzemeltet, amely a VHD-fájlokat tárolja.
  • Ha a biztonsági szabályzat korlátozza az Azure-beli virtuális gépek internethez való hozzáférését, feloldhatja az előző URI-t, és konfigurálhat egy konkrét szabályt, amely lehetővé teszi a kimenő kapcsolatot az IP-címekhez. További információ: Azure Key Vault tűzfal mögött.
  • A titkosítandó virtuális gépet úgy kell konfigurálni, hogy a TLS 1.2 protokollt használja alapértelmezett protokollként. Ha a TLS 1.0 kifejezetten le lett tiltva, és a .NET-verzió nem lett frissítve a 4.6-os vagy újabb verzióra, az alábbi beállításjegyzék-módosítás lehetővé teszi az ADE számára a legújabb TLS-verzió kiválasztását:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`

Csoportházirend:

  • Az Azure Disk Encryption megoldás a BitLocker külső kulcsvédőt használja Windows IaaS rendszerű virtuális gépekhez. Tartományhoz csatlakoztatott virtuális gépek esetén ne küldjön le olyan csoportházirendeket, amelyek TPM-védőket kényszerítenek ki. A "BitLocker engedélyezése kompatibilis TPM nélkül" csoportszabályzatról további információt a BitLocker csoportházirend-referenciája tartalmaz.

  • Az egyéni csoportházirenddel rendelkező tartományhoz csatlakoztatott virtuális gépek BitLocker-házirendjének tartalmaznia kell a következő beállítást: A BitLocker helyreállítási adatainak felhasználói tárolójának konfigurálása –> 256 bites helyreállítási kulcs engedélyezése. Az Azure Disk Encryption sikertelen lesz, ha a BitLocker egyéni csoportházirend-beállításai nem kompatibilisek. Olyan gépeken, amelyek nem rendelkeztek a megfelelő házirend-beállítással, alkalmazza az új házirendet, kényszerítse az új szabályzat frissítését (gpupdate.exe /force), majd szükség lehet az újraindításra.

A titkosítási kulcs tárhelyével kapcsolatos követelmények

Az Azure Disk Encryption használatához egy Azure Key Vault szükséges a lemeztitkosítási kulcsok és titkos kulcsok vezérléséhez és kezeléséhez. A kulcstartónak és a virtuális gépeknek ugyanabban az Azure-régióban és -előfizetésben kell lenniük.

További információ: Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez a Microsoft Entra-azonosítóval (korábbi kiadás).

Következő lépések