Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Crittografia dischi di Azure è pianificato per il ritiro il 15 settembre 2028. Fino a tale data, è possibile continuare a usare Crittografia dischi di Azure senza interruzioni. Il 15 settembre 2028 i carichi di lavoro abilitati per ADE continueranno a essere eseguiti, ma i dischi crittografati non riusciranno a sbloccarsi dopo il riavvio della macchina virtuale, causando un'interruzione del servizio.
Usare la crittografia nell'host per le nuove macchine virtuali. Tutte le macchine virtuali abilitate per ADE (inclusi i backup) devono eseguire la migrazione alla crittografia nell'host prima della data di ritiro per evitare interruzioni del servizio. Per informazioni dettagliate, vedere Eseguire la migrazione da Crittografia dischi di Azure alla crittografia nell'host .
Si applica a: ✔️ macchine virtuali di Linux ✔️ set di scalabilità flessibili
La nuova versione di Crittografia dischi di Azure elimina la necessità di specificare un parametro dell'applicazione Microsoft Entra per abilitare la crittografia dei dischi per le macchine virtuali. Con la nuova versione, non è più necessario specificare le credenziali di Microsoft Entra durante il passaggio di abilitazione della crittografia. Tutte le nuove macchine virtuali devono essere crittografate senza i parametri dell'applicazione Microsoft Entra. Per istruzioni su come abilitare la crittografia dei dischi di macchine virtuali usando la nuova versione, vedere Crittografia dischi di Azure per macchine virtuali Linux. Le macchine virtuali che sono già state crittografate con i parametri dell'applicazione Microsoft Entra sono ancora supportate e dovrebbero continuare a essere gestite con la sintassi di Microsoft Entra.
Questo articolo integra Crittografia dischi di Azure per le macchine virtuali Linux con requisiti e prerequisiti aggiuntivi per Crittografia dischi di Azure con Microsoft Entra ID (versione precedente).
Le informazioni contenute in queste sezioni rimangono invariate:
Rete e Criteri di gruppo
Per abilitare la funzionalità Crittografia dischi di Azure usando la sintassi precedente dei parametri Microsoft Entra, le macchine virtuali infrastruttura distribuita come servizio devono soddisfare i requisiti di configurazione degli endpoint di rete seguenti:
- Per ottenere un token per la connessione all'insieme di credenziali delle chiavi, è necessario che la macchina virtuale IaaS possa connettersi a un endpoint Microsoft Entra, [login.microsoftonline.com].
- Per scrivere le chiavi di crittografia nell'insieme di credenziali delle chiavi, è necessario che la macchina virtuale IaaS possa connettersi all'endpoint dell'insieme di credenziali delle chiavi.
- La VM IaaS deve potersi connettere a un endpoint di archiviazione di Azure che ospita il repository delle estensioni di Azure e a un account di archiviazione di Azure che ospita i file del disco rigido virtuale.
- Se i criteri di sicurezza limitano l'accesso dalle macchine virtuali di Azure a Internet, è possibile risolvere l'URI precedente e configurare una regola specifica per consentire la connettività in uscita agli indirizzi IP. Per altre informazioni, vedere Azure Key Vault protetto da firewall.
- In Windows, se TLS 1.0 è disabilitato esplicitamente e .NET non è aggiornato almeno alla versione 4.6, la seguente modifica del Registro di sistema consente a Crittografia dischi di Azure di selezionare una versione TLS più recente:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
Criteri di gruppo
La soluzione Crittografia dischi di Azure usa la protezione con chiave esterna BitLocker per macchine virtuali IaaS Windows. Per le macchine virtuali aggiunte a un dominio, non eseguire il push di criteri di gruppo che applichino protezioni TPM. Per informazioni sui Criteri di gruppo per l'opzione Consenti BitLocker senza un TPM compatibile, vedere Informazioni di riferimento sui Criteri di gruppo BitLocker.
I criteri di BitLocker nelle macchine virtuali aggiunte a un dominio con un criterio di gruppo personalizzato devono includere l'impostazione seguente: Configura archiviazione delle informazioni di ripristino di BitLocker da parte degli utenti -> Consenti chiave di ripristino a 256 bit. Crittografia dischi di Azure ha esito negativo quando le impostazioni di Criteri di gruppo personalizzate per BitLocker sono incompatibili. Sulle macchine sprovviste delle corrette impostazioni di criteri, applicare i nuovi criteri, forzare l'aggiornamento dei criteri (gpupdate.exe /force), quindi riavviare, se necessario.
Requisiti di archiviazione delle chiavi di crittografia
Crittografia dischi di Azure richiede Azure Key Vault per controllare e gestire segreti e chiavi di crittografia dei dischi. L'insieme di credenziali delle chiavi e le macchine virtuali devono risiedere nella stessa area e sottoscrizione di Azure.
Per altre informazioni, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure con Microsoft Entra ID (versione precedente).
Passaggi successivi
- Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure con Microsoft Entra ID (versione precedente)
- Abilitare Crittografia dischi di Azure con Microsoft Entra ID nelle macchine virtuali Linux (versione precedente)
- Script dell'interfaccia della riga di comando dei prerequisiti di Crittografia dischi di Azure
- Script di PowerShell dei prerequisiti di Crittografia dischi di Azure