Azure Disk Encryption met Azure Active Directory (AD) (vorige versie)

Van toepassing op: ✔️ Flexibele schaalsets voor ✔️ Linux-VM's

De nieuwe versie van Azure Disk Encryption elimineert de vereiste voor het opgeven van een toepassingsparameter van Azure Active Directory (Azure AD) voor het inschakelen van VM-schijfversleuteling. Met de nieuwe release hoeft u geen Azure AD-referenties meer op te geven tijdens de stap Versleuteling inschakelen. Alle nieuwe VM's moeten worden versleuteld zonder de azure AD-toepassingsparameters met behulp van de nieuwe release. Zie Voor instructies over het inschakelen van VM-schijfversleuteling met behulp van de nieuwe versie Azure Disk Encryption linux-VM's. VM's die al zijn versleuteld met Azure AD-toepassingsparameters worden nog steeds ondersteund en moeten worden onderhouden met de AAD syntaxis.

Dit artikel bevat een aanvulling op Azure Disk Encryption linux-VM's met aanvullende vereisten en vereisten voor Azure Disk Encryption met Azure AD (vorige versie).

De informatie in deze secties blijft hetzelfde:

Netwerken en groepsbeleid

Als u de Azure Disk Encryption-functie wilt inschakelen met behulp van de oudere AAD-parametersyntaxis, moet de infrastructuur als een dienst (IaaS) VM's voldoen aan de volgende configuratievereisten voor netwerk-eindpunten:

  • Om een token te krijgen om verbinding te maken met uw sleutelkluis, moet de IaaS-VM verbinding kunnen maken met een Azure AD-eindpunt, [login.microsoftonline.com].
  • Als u de versleutelingssleutels naar uw sleutelkluis wilt schrijven, moet de IaaS-VM verbinding kunnen maken met het eindpunt van de sleutelkluis.
  • De IaaS-VM moet verbinding kunnen maken met een Azure Storage-eindpunt dat als host dient voor de Azure-extensieopslagplaats en een Azure-opslagaccount dat als host voor de VHD-bestanden dient.
  • Als uw beveiligingsbeleid de toegang van Azure-VM's tot internet beperkt, kunt u de voorgaande URI oplossen en een specifieke regel configureren om uitgaande verbindingen met de IP's toe te staan. Zie voor meer informatie Azure Key Vault een firewall.
  • Als Windows TLS 1.0 expliciet is uitgeschakeld en de .NET-versie niet is bijgewerkt naar 4.6 of hoger, kunnen Azure Disk Encryption met de volgende registerwijziging de meest recente TLS-versie selecteren:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Groepsbeleid

  • De Azure Disk Encryption maakt gebruik van de externe BitLocker-sleutelbeveiliging voor Windows IaaS-VM's. Voor virtuele VM's die lid zijn van een domein, moet u geen groepsbeleid pushen dat TPM-beveiligingen afdwingt. Zie BitLocker groepsbeleid naslaginformatie voor meer informatie over de groepsbeleid optie BitLocker zonder een compatibele TPM toestaan.

  • BitLocker-beleid op virtuele machines die lid zijn van een domein met een aangepaste groepsbeleid moet de volgende instelling bevatten: Gebruikersopslag van BitLocker-herstelgegevens> configureren : 256-bits herstelsleutel toestaan. Azure Disk Encryption mislukt wanneer aangepaste groepsbeleid voor BitLocker niet compatibel zijn. Op computers die niet de juiste beleidsinstelling hebben, pas het nieuwe beleid toe, dwingt u het nieuwe beleid bij te werken (gpupdate.exe /force) en start u opnieuw op als dit vereist is.

Opslagvereisten voor versleutelingssleutels

Azure Disk Encryption vereist Azure Key Vault voor het beheren en beheren van schijfversleutelingssleutels en -geheimen. Uw sleutelkluis en VM's moeten zich in dezelfde Azure-regio en hetzelfde abonnement bevinden.

Zie Een sleutelkluis maken en configureren voor Azure Disk Encryption met Azure AD (vorige versie) voor meer informatie.

Volgende stappen