Condividi tramite


Crittografia dischi di Azure con Azure AD (versione precedente)

Si applica a: ✔️ macchine virtuali Windows

La nuova versione di Crittografia dischi di Azure elimina la necessità di specificare un parametro dell'applicazione Microsoft Entra per abilitare la crittografia dei dischi per le macchine virtuali. Con la nuova versione, non è più necessario specificare le credenziali di Microsoft Entra durante il passaggio di abilitazione della crittografia. Tutte le nuove macchine virtuali devono essere crittografate senza i parametri dell'applicazione Microsoft Entra. Per istruzioni su come abilitare la crittografia dei dischi di macchine virtuali usando la nuova versione, vedere Crittografia dischi di Azure per macchine virtuali Windows. Le macchine virtuali che sono già state crittografate con i parametri dell'applicazione Microsoft Entra sono ancora supportate e dovrebbero continuare a essere gestite con la sintassi di Microsoft Entra.

Questo articolo integra Crittografia dischi di Azure per le macchine virtuali Windows con requisiti e prerequisiti aggiuntivi per Crittografia dischi di Azure con Microsoft Entra ID (versione precedente). La sezione Macchine virtuali e sistemi operativi supportati rimane invariata.

Rete e Criteri di gruppo

Per abilitare la funzionalità Crittografia dischi di Azure usando la sintassi precedente dei parametri Microsoft Entra, le macchine virtuali IaaS devono soddisfare i requisiti di configurazione degli endpoint di rete seguenti:

  • Per ottenere un token per la connessione all'insieme di credenziali delle chiavi, è necessario che la macchina virtuale IaaS possa connettersi a un endpoint Microsoft Entra, [login.microsoftonline.com].
  • Per scrivere le chiavi di crittografia nell'insieme di credenziali delle chiavi, è necessario che la macchina virtuale IaaS possa connettersi all'endpoint dell'insieme di credenziali delle chiavi.
  • La VM IaaS deve potersi connettere a un endpoint di archiviazione di Azure che ospita il repository delle estensioni di Azure e a un account di archiviazione di Azure che ospita i file del disco rigido virtuale.
  • Se i criteri di sicurezza limitano l'accesso delle macchine virtuali di Azure a Internet, è possibile risolvere l'URI precedente e configurare una regola specifica per consentire la connettività in uscita agli IP. Per altre informazioni, vedere Azure Key Vault protetto da firewall.
  • La macchina virtuale da crittografare deve essere configurata per l'uso di TLS 1.2 come protocollo predefinito. Se TLS 1.0 è stato disabilitato esplicitamente e .NET non è stato aggiornato almeno alla versione 4.6, la seguente modifica del Registro di sistema consentirà a ADE di selezionare una versione TLS più recente:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Criteri di gruppo:

  • La soluzione Crittografia dischi di Azure usa la protezione con chiave esterna BitLocker per macchine virtuali IaaS Windows. Per le macchine virtuali aggiunte a un dominio, non eseguire il push dei criteri di gruppo che applicano le protezioni TPM. Per informazioni sui Criteri di gruppo per consentire BitLocker senza un TPM compatibile, vedere BitLocker Group Policy Reference (Informazioni di riferimento sui Criteri di gruppo BitLocker).

  • I criteri di BitLocker nelle macchine virtuali aggiunte a un dominio con criteri di gruppo personalizzati devono includere l'impostazione seguente: Configurazione archiviazione delle informazioni di ripristino di BitLocker da parte degli utenti >Consenti chiave di ripristino a 256 bit. Crittografia dischi di Azure avrà esito negativo quando le impostazioni di Criteri di gruppo personalizzate per BitLocker sono incompatibili. Nei computer che non avevano l'impostazione dei criteri corretta, applicare il nuovo criterio, forzare l'aggiornamento del nuovo criterio (gpupdate.exe /force) e quindi riavviare il sistema se necessario.

Requisiti di archiviazione delle chiavi di crittografia

Crittografia dischi di Azure richiede Azure Key Vault per controllare e gestire segreti e chiavi di crittografia dei dischi. L'insieme di credenziali delle chiavi e le macchine virtuali devono trovarsi nella stessa area e sottoscrizione di Azure.

Per dettagli, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure con Azure AD (versione precedente).

Passaggi successivi