Azure Disk Encryption com o Azure Active Directory AD (versão prévia)

Aplica-se a: ✔️ VMs do Linux ✔️ Conjuntos de dimensionamento flexíveis

A nova versão do Azure Disk Encryption elimina a necessidade de fornecer um parâmetro do aplicativo Azure AD (Azure Active Directory) para habilitar a criptografia de disco de VM. Com a nova versão, não é mais necessário fornecer credenciais do Azure AD durante a etapa para habilitar criptografia. Todas as novas VMs devem ser criptografadas sem os parâmetros do aplicativo do Azure AD, usando a nova versão. Para obter instruções para habilitar a criptografia de disco de VM usando a nova versão, veja Azure Disk Encryption para VMs do Linux. As VMs que já foram criptografadas com os parâmetros de aplicativo do Azure AD ainda têm suporte e devem continuar a ser mantidas com a sintaxe do AAD.

Este artigo fornece complementa Azure Disk Encryption para VMs do Linux com requisitos e pré-requisitos adicionais para Azure Disk Encryption com o Azure AD (versão prévia).

As informações contidas nessas seções permanecem as mesmas:

Sistema de rede e a diretiva de grupo

Para habilitar o recurso de Azure Disk Encryption usando a sintaxe do parâmetro AAD, as VMs de infraestrutura como serviço (IaaS) devem atender os requisitos de configuração do ponto de extremidade da rede a seguir:

  • Para obter um token para se conectar ao cofre de chaves, a VM IaaS deve ser capaz de se conectar a um ponto de extremidade do Microsoft Azure Active Directory, [login.microsoftonline.com].
  • Para gravar as chaves de criptografia no cofre de chaves, a VM IaaS deve ser capaz de se conectar ao ponto de extremidade do cofre de chaves.
  • A VM IaaS deve ser capaz de se conectar a um ponto de extremidade do armazenamento do Azure que hospeda o repositório de extensão do Azure e uma conta de armazenamento do Azure que hospeda os arquivos VHD.
  • Se a política de segurança limita o acesso de VMs do Azure à Internet, você pode resolver o URI anterior e configurar uma regra específica para permitir a conectividade de saída para os IPs. Para obter mais informações, consulte Azure Key Vault por trás de um firewall.
  • No Windows, se o TLS 1.0 está desabilitado explicitamente e a versão do .NET não foi atualizada para 4.6 ou superior, a seguinte alteração do registro permite que o Azure Disk Encryption selecione a versão mais recente do TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Política de Grupo

  • A solução de Azure Disk Encryption usa o protetor de chave externa BitLocker para VMs IaaS do Windows. Para VMs ingressado no domínio, não envie por push todas as Políticas de Grupo que imponham protetores TPM. Para obter informações sobre a Política de Grupo para a opção Permitir BitLocker sem um TPM compatível, confira Referência de Política de Grupo do BitLocker.

  • A Política do BitLocker em máquinas virtuais de domínio associado com uma Política de Grupo personalizado deve incluir a seguinte configuração: Configurar o armazenamento de usuário das informações de recuperação do BitLocker -> Permitir chave de recuperação de 256 bits. O Azure Disk Encryption falha quando as configurações da Política de Grupo personalizada para o BitLocker são incompatíveis. Em computadores que não têm a configuração de política correta, aplique a nova política, force a atualização da nova política (gpupdate.exe /force) e, em seguida, reiniciar se for necessário.

Requisitos de armazenamento de chave de criptografia

O Azure Disk Encryption requer o Azure Key Vault para ajudar você a controlar e gerenciar os segredos e chaves de criptografia de disco. Seu cofre de chaves e as VMs devem residir na mesma região e assinatura do Azure.

Para obter mais informações, confira Criação e configuração de um cofre de chaves para Azure Disk Encryption com o Azure AD (versão anterior).

Próximas etapas