次の方法で共有


Azure AD での Azure Disk Encryption (以前のリリース)

適用対象: ✔️ Windows VM

Azure Disk Encryption の新しいリリースでは、VM ディスク暗号化を有効にするために Microsoft Entra アプリケーション パラメーターを指定する必要はありません。 新しいリリースでは、暗号化を有効にする手順の途中で、Microsoft Entra の資格情報を指定する必要がなくなりました。 すべての新しい VM は、新しいリリースを使って、Microsoft Entra アプリケーション パラメーターを指定せずに暗号化する必要があります。 新しいリリースを使用して VM のディスク暗号化を有効にする手順を表示するには、Windows VM の Azure Disk Encryption に関するページを参照してください。 Microsoft Entra アプリケーションのパラメーターで既に暗号化されている VM は引き続きサポートされており、Microsoft Entra の構文を使って保持し続ける必要があります。

この記事では、Windows VM 用の Azure Disk Encryption の内容を補足すると共に、Microsoft Entra ID (以前のリリース) を使用した Azure Disk Encryption の追加の要件と前提条件について説明します。 セクション「サポートされている VM とオペレーティング システム」は変りありません。

ネットワークとグループ ポリシー

従来の Microsoft Entra パラメーター構文を使って Azure Disk Encryption 機能を有効にするには、IaaS VM が次のネットワーク エンドポイントの構成要件を満たす必要があります。

  • キー コンテナーに接続するためのトークンを取得するには、IaaS VM が Microsoft Entra エンドポイント [login.microsoftonline.com] に接続できる必要があります。
  • 暗号化キーを Key Vault に書き込むには、IaaS VM が Key Vault エンドポイントに接続できる必要があります。
  • IaaS VM は、Azure 拡張リポジトリをホストする Azure ストレージ エンドポイントと、VHD ファイルをホストする Azure ストレージ アカウントに接続できる必要があります。
  • セキュリティ ポリシーで Azure VM からインターネットへのアクセスが制限されている場合は、上記の URI を解決し、IP への送信接続を許可するための特定のルールを構成することができます。 詳細については、「ファイアウォールの内側にある Azure Key Vault へのアクセス」を参照してください。
  • 暗号化する VM は、既定のプロトコルとして TLS 1.2 を使用するように構成する必要があります。 TLS 1.0 が明示的に無効化され、.NET バージョンが 4.6 以降に更新されていない場合は、次のレジストリ変更を行うと、ADE がより新しい TLS バージョンを選択できます。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

グループ ポリシー:

  • Azure Disk Encryption ソリューションでは、Windows IaaS VM に対して BitLocker 外部キー保護機能を使用します。 ドメインに参加している VM の場合は、TPM 保護機能を適用するグループ ポリシーをプッシュしないでください。 "互換性のある TPM が装備されていない BitLocker を許可する" のグループ ポリシーについては、「BitLocker Group Policy Reference」(BitLocker グループ ポリシー リファレンス) をご覧ください。

  • カスタム グループ ポリシーを使用するドメインに参加している仮想マシンの Bitlocker ポリシーには、[BitLocker 回復情報のユーザー記憶域を構成する] -> >[256 ビットの回復キーを許可する] の設定を含める必要があります。 BitLocker のカスタム グループ ポリシー設定に互換性がない場合、Azure Disk Encryption は失敗します。 正しいポリシー設定がないマシンでは、新しいポリシーを適用し、新しいポリシーを強制的に更新して (gpupdate.exe /force)、再起動する処理が必要になる可能性があります。

暗号化キーのストレージ要件

Azure Disk Encryption では、ディスク暗号化キーとシークレットを制御および管理するために、Azure Key Vault が必要です。 ご利用のキー コンテナーと VM は、同じ Azure リージョンおよびサブスクリプションに存在している必要があります。

詳しくは、「Microsoft Entra ID を使用した Azure Disk Encryption 用のキー コンテナーの作成と構成 (以前のリリース)」をご覧ください。

次のステップ