Azure Disk Encryption dengan ID Microsoft Entra (rilis sebelumnya)

Berlaku untuk: ✔️ Mesin Virtual Linux ✔️ Set skala fleksibel

Rilis baru Azure Disk Encryption menghilangkan persyaratan untuk menyediakan parameter aplikasi Microsoft Entra untuk mengaktifkan enkripsi disk VM. Dengan rilis baru, Anda tidak lagi diharuskan untuk memberikan kredensial Microsoft Entra selama langkah mengaktifkan enkripsi. Semua VM baru harus dienkripsi tanpa parameter aplikasi Microsoft Entra dengan menggunakan rilis baru. Untuk petunjuk tentang cara mengaktifkan enkripsi disk komputer virtual dengan menggunakan rilis baru, lihat Azure Disk Encryption untuk komputer virtual Linux. VM yang sudah dienkripsi dengan parameter aplikasi Microsoft Entra masih didukung dan harus terus dipertahankan dengan sintaks Microsoft Entra.

Artikel ini menyediakan suplemen untuk Azure Disk Encryption untuk VM Linux dengan persyaratan dan prasyarat tambahan untuk Azure Disk Encryption dengan MICROSOFT Entra ID (rilis sebelumnya).

Informasi di bagian ini tetap sama:

Jaringan dan Kebijakan Grup

Untuk mengaktifkan fitur Azure Disk Encryption dengan menggunakan sintaks parameter Microsoft Entra yang lebih lama, VM infrastruktur sebagai layanan (IaaS) harus memenuhi persyaratan konfigurasi titik akhir jaringan berikut:

  • Untuk mendapatkan token untuk terhubung ke brankas kunci Anda, IaaS VM harus dapat terhubung ke titik akhir Microsoft Entra, [login.microsoftonline.com].
  • Untuk menulis kunci enkripsi ke brankas kunci, komputer virtual infrastruktur sebagai layanan harus dapat tersambung ke titik akhir Azure AD.
  • Komputer virtual infrastruktur sebagai layanan harus dapat tersambung ke titik akhir penyimpanan Azure yang menghosting repositori ekstensi Azure dan akun penyimpanan Azure yang menghosting file VHD.
  • Jika kebijakan keamanan Anda membatasi akses dari komputer virtual Azure ke Internet, Anda dapat menyelesaikan URI sebelumnya dan mengonfigurasi aturan khusus untuk mengizinkan konektivitas keluar ke IP. Untuk mengetahui informasi selengkapnya, lihat Azure Key Vault di balik firewall.
  • Di Windows, jika TLS 1.0 secara eksplisit dinonaktifkan dan versi .NET tidak diperbarui ke 4.6 atau lebih tinggi, perubahan registri berikut ini memungkinkan Azure Disk Encryption untuk memilih versi TLS yang lebih baru:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Kebijakan Grup

  • Solusi Azure Disk Encryption menggunakan pelindung kunci eksternal BitLocker untuk komputer virtual infrastruktur sebagai layanan Windows. Untuk komputer virtual yang bergabung dengan domain, jangan memaksakan Kebijakan Grup apa pun yang memberlakukan pelindung TPM. Untuk informasi tentang Kebijakan Grup untuk opsi Izinkan BitLocker tanpa TPM yang kompatibel, lihat Referensi Kebijakan Grup BitLocker.

  • Kebijakan BitLocker pada mesin virtual yang bergabung dengan domain dengan Kebijakan Grup khusus harus menyertakan setelan berikut: Mengonfigurasi penyimpanan pengguna informasi pemulihan BitLocker -> Izinkan kunci pemulihan 256-bit. Azure Disk Encryption akan gagal ketika pengaturan Kebijakan Grup kustom untuk BitLocker tidak kompatibel. Pada komputer yang tidak memiliki pengaturan kebijakan yang benar, terapkan kebijakan baru, paksa kebijakan baru untuk diperbarui (gpupdate.exe /force), lalu hidupkan ulang jika dibutuhkan.

Persyaratan penyimpanan kunci enkripsi

Azure Disk Encryption menggunakan Azure Key Vault untuk mengontrol dan mengelola kunci dan rahasia enkripsi disk. Brankas kunci dan mesin virtual Anda harus berada di wilayah Azure dan langganan yang sama.

Untuk informasi selengkapnya, lihat Membuat dan mengonfigurasi brankas kunci untuk Azure Disk Encryption dengan ID Microsoft Entra (rilis sebelumnya).

Langkah berikutnya