Azure Disk Encryption met Microsoft Entra-id (vorige release)

  • Artikel

Van toepassing op: ✔️ Flexibele schaalsets voor Linux-VM's ✔️

De nieuwe versie van Azure Disk Encryption elimineert de vereiste voor het instellen van een Microsoft Entra-toepassingsparameter om VM-schijfversleuteling in te schakelen. Met de nieuwe release is het niet meer nodig om Microsoft Entra-referenties op te geven tijdens de stap versleuteling inschakelen. Alle nieuwe VM's moeten worden versleuteld zonder de Microsoft Entra-toepassingsparameters met behulp van de nieuwe release. Zie Azure Disk Encryption voor Linux-VM's voor instructies over het inschakelen van VM-schijfversleuteling met behulp van de nieuwe versie. VM's die al zijn versleuteld met Microsoft Entra-toepassingsparameters, worden nog steeds ondersteund en moeten nog steeds worden onderhouden met de Microsoft Entra-syntaxis.

Dit artikel bevat aanvullingen op Azure Disk Encryption voor Linux-VM's met aanvullende vereisten en vereisten voor Azure Disk Encryption met Microsoft Entra ID (vorige release).

De informatie in deze secties blijft hetzelfde:

Netwerk- en groepsbeleid

Als u de functie Azure Disk Encryption wilt inschakelen met behulp van de oudere syntaxis van de Microsoft Entra-parameter, moet de IaaS-VM's (Infrastructure as a Service) voldoen aan de volgende configuratievereisten voor netwerkeindpunten:

  • Als u een token wilt ophalen om verbinding te maken met uw sleutelkluis, moet de IaaS-VM verbinding kunnen maken met een Microsoft Entra-eindpunt, [login.microsoftonline.com].
  • Als u de versleutelingssleutels naar uw sleutelkluis wilt schrijven, moet de IaaS-VM verbinding kunnen maken met het eindpunt van de sleutelkluis.
  • De IaaS-VM moet verbinding kunnen maken met een Azure-opslageindpunt dat als host fungeert voor de Azure-extensieopslagplaats en een Azure-opslagaccount dat als host fungeert voor de VHD-bestanden.
  • Als uw beveiligingsbeleid de toegang van Azure-VM's tot internet beperkt, kunt u de voorgaande URI oplossen en een specifieke regel configureren om uitgaande connectiviteit met de IP-adressen toe te staan. Zie Azure Key Vault achter een firewall voor meer informatie.
  • Als TLS 1.0 in Windows expliciet is uitgeschakeld en de .NET-versie niet wordt bijgewerkt naar 4.6 of hoger, schakelt de volgende registerwijziging Azure Disk Encryption in om de recentere TLS-versie te selecteren:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`

Groepsbeleid

  • De Azure Disk Encryption-oplossing maakt gebruik van de externe BitLocker-sleutelbeveiliging voor Windows IaaS-VM's. Voor vm's die lid zijn van een domein, pusht u geen groepsbeleid dat TPM-beveiliging afdwingt. Zie de referentie bitLocker-groepsbeleid voor informatie over het groepsbeleid voor de optie BitLocker zonder compatibele TPM toestaan.

  • BitLocker-beleid op virtuele machines die lid zijn van een domein met een aangepast groepsbeleid moet de volgende instelling bevatten: Gebruikersopslag van BitLocker-herstelgegevens configureren -> 256-bits herstelsleutel toestaan. Azure Disk Encryption mislukt wanneer aangepaste groepsbeleidsinstellingen voor BitLocker niet compatibel zijn. Pas het nieuwe beleid toe op computers die niet over de juiste beleidsinstelling beschikken, dwing het nieuwe beleid af om bij te werken (gpupdate.exe /force) en start het opnieuw als dit vereist is.

Opslagvereisten voor versleutelingssleutels

Voor Azure Disk Encryption is Azure Key Vault vereist om schijfversleutelingssleutels en -geheimen te beheren. Uw sleutelkluis en VM's moeten zich in dezelfde Azure-regio en hetzelfde abonnement bevinden.

Zie Een sleutelkluis voor Azure Disk Encryption maken en configureren met Microsoft Entra ID (vorige release) voor meer informatie.

Volgende stappen