Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: ✔️ maszyny wirtualne z systemem Windows
Nowa wersja usługi Azure Disk Encryption eliminuje wymaganie podania parametru aplikacji Microsoft Entra w celu włączenia szyfrowania dysków maszyny wirtualnej. W nowej wersji nie musisz już podawać poświadczeń firmy Microsoft w trakcie kroku włączania szyfrowania. Wszystkie nowe maszyny wirtualne muszą być szyfrowane bez parametrów aplikacji Microsoft Entra przy użyciu nowej wersji. Aby wyświetlić instrukcje dotyczące włączania szyfrowania dysków maszyny wirtualnej przy użyciu nowej wersji, zobacz Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Windows. Maszyny wirtualne, które zostały już zaszyfrowane za pomocą parametrów aplikacji Microsoft Entra, są nadal obsługiwane i powinny być nadal utrzymywane przy użyciu składni Microsoft Entra.
Ten artykuł uzupełnia usługę Azure Disk Encryption dla maszyn wirtualnych z systemem Windows z dodatkowymi wymaganiami i wymaganiami wstępnymi dotyczącymi usługi Azure Disk Encryption przy użyciu identyfikatora Microsoft Entra ID (poprzednia wersja). Sekcja Obsługiwane maszyny wirtualne i systemy operacyjne pozostaje taka sama.
Sieci i zasady grupy
Aby włączyć funkcję Azure Disk Encryption przy użyciu starszej składni parametrów firmy Microsoft Entra, maszyny wirtualne IaaS muszą spełniać następujące wymagania dotyczące konfiguracji punktu końcowego sieci:
- Aby uzyskać token umożliwiający nawiązanie połączenia z magazynem kluczy, maszyna wirtualna IaaS musi mieć możliwość nawiązania połączenia z punktem końcowym usługi Microsoft Entra [login.microsoftonline.com].
- Aby zapisać klucze szyfrowania w magazynie kluczy, maszyna wirtualna IaaS musi mieć możliwość nawiązania połączenia z punktem końcowym magazynu kluczy.
- Maszyna wirtualna IaaS VM musi mieć możliwość nawiązania połączenia z punktem końcowym magazynu platformy Azure, który hostuje repozytorium rozszerzeń platformy Azure, oraz z kontem magazynu Azure, które hostuje pliki VHD.
- Jeśli zasady zabezpieczeń ograniczają dostęp z maszyn wirtualnych platformy Azure do Internetu, możesz rozpoznać powyższy identyfikator URI i skonfigurować określoną regułę, aby zezwolić na łączność wychodzącą z adresami IP. Aby uzyskać więcej informacji, zobacz Azure Key Vault za zaporą.
- Maszyna wirtualna do szyfrowania musi być skonfigurowana do używania protokołu TLS 1.2 jako protokołu domyślnego. Jeśli protokół TLS 1.0 został jawnie wyłączony, a wersja platformy .NET nie została zaktualizowana do wersji 4.6 lub nowszej, następująca zmiana rejestru umożliwi programowi ADE wybranie nowszej wersji protokołu TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
Zasady grupy:
Rozwiązanie Azure Disk Encryption używa zewnętrznego ochrony klucza BitLocker dla maszyn wirtualnych IaaS z systemem Windows. W przypadku maszyn wirtualnych przyłączonych do domeny nie wdrażaj żadnych zasad grupowych, które wymuszają zabezpieczenia TPM. Aby uzyskać informacje o zasadach grupy dla funkcji "Zezwalaj na funkcję BitLocker bez zgodnego modułu TPM", zobacz Dokumentacja zasad grupy funkcji BitLocker.
Zasady funkcji BitLocker na maszynach wirtualnych przyłączonych do domeny z niestandardowymi zasadami grupy muszą zawierać następujące ustawienie: Konfiguruj przechowywanie informacji odzyskiwania BitLocker przez użytkownika —> pozwól na 256-bitowy klucz odzyskiwania. Usługa Azure Disk Encryption zakończy się niepowodzeniem, gdy niestandardowe ustawienia zasad grupy dla funkcji BitLocker są niezgodne. Na maszynach, które nie miały poprawnego ustawienia zasad, zastosuj nowe zasady, wymuś nowe zasady do aktualizacji (gpupdate.exe /force), a następnie może być wymagane ponowne uruchomienie.
Wymagania dotyczące magazynu kluczy szyfrowania
Usługa Azure Disk Encryption wymaga usługi Azure Key Vault do kontrolowania kluczy szyfrowania dysków i wpisów tajnych oraz zarządzania nimi. Magazyn kluczy i maszyny wirtualne muszą znajdować się w tym samym regionie i subskrypcji platformy Azure.
Aby uzyskać szczegółowe informacje, zobacz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption przy użyciu identyfikatora Entra firmy Microsoft (poprzedniej wersji).
Następne kroki
- Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption przy użyciu identyfikatora Entra firmy Microsoft (poprzedniej wersji)
- Włączanie usługi Azure Disk Encryption przy użyciu identyfikatora Entra firmy Microsoft na maszynach wirtualnych z systemem Windows (poprzednia wersja)
- Skrypt CLI do obsługi prerekwizytów dla szyfrowania dysków w Azure
- Skrypt programu PowerShell dotyczący wymagań wstępnych dla szyfrowania dysków Azure