Azure Disk Encryption met Azure AD (vorige release)

  • Artikel

Van toepassing op: ✔️ Windows-VM's

De nieuwe versie van Azure Disk Encryption elimineert de vereiste voor het instellen van een Microsoft Entra-toepassingsparameter om VM-schijfversleuteling in te schakelen. Met de nieuwe release bent u niet meer verplicht om Microsoft Entra-referenties op te geven tijdens de stap versleuteling inschakelen. Alle nieuwe VM's moeten worden versleuteld zonder de Microsoft Entra-toepassingsparameters met behulp van de nieuwe release. Zie Azure Disk Encryption voor Windows-VM's voor instructies voor het inschakelen van VM-schijfversleuteling met behulp van de nieuwe versie. VM's die al zijn versleuteld met Microsoft Entra-toepassingsparameters, worden nog steeds ondersteund en moeten nog steeds worden onderhouden met de Microsoft Entra-syntaxis.

Dit artikel is een aanvulling op Azure Disk Encryption voor Windows-VM's met aanvullende vereisten en vereisten voor Azure Disk Encryption met Microsoft Entra ID (vorige release). De sectie Ondersteunde VM's en besturingssystemen blijft hetzelfde.

Netwerk- en groepsbeleid

Als u de Azure Disk Encryption-functie wilt inschakelen met behulp van de oudere syntaxis van de Microsoft Entra-parameter, moeten de IaaS-VM's voldoen aan de volgende configuratievereisten voor netwerkeindpunten:

  • Als u een token wilt ophalen om verbinding te maken met uw sleutelkluis, moet de IaaS-VM verbinding kunnen maken met een Microsoft Entra-eindpunt, [login.microsoftonline.com].
  • Als u de versleutelingssleutels naar uw sleutelkluis wilt schrijven, moet de IaaS-VM verbinding kunnen maken met het eindpunt van de sleutelkluis.
  • De IaaS-VM moet verbinding kunnen maken met een Azure-opslageindpunt dat als host fungeert voor de Azure-extensieopslagplaats en een Azure-opslagaccount dat als host fungeert voor de VHD-bestanden.
  • Als uw beveiligingsbeleid de toegang van Azure-VM's tot internet beperkt, kunt u de voorgaande URI oplossen en een specifieke regel configureren om uitgaande connectiviteit met de IP-adressen toe te staan. Zie Azure Key Vault achter een firewall voor meer informatie.
  • De vm die moet worden versleuteld, moet worden geconfigureerd voor het gebruik van TLS 1.2 als het standaardprotocol. Als TLS 1.0 expliciet is uitgeschakeld en de .NET-versie niet is bijgewerkt naar 4.6 of hoger, zorgt de volgende registerwijziging ervoor dat ADE de recentere TLS-versie kan selecteren:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`

Groepsbeleid:

Opslagvereisten voor versleutelingssleutels

Azure Disk Encryption vereist een Azure Key Vault om schijfversleutelingssleutels en -geheimen te beheren. Uw sleutelkluis en VM's moeten zich in dezelfde Azure-regio en hetzelfde abonnement bevinden.

Zie Een sleutelkluis voor Azure Disk Encryption maken en configureren met Microsoft Entra-id (vorige versie) voor meer informatie.

Volgende stappen