Encriptação do disco Azure com Azure Ative Directory (AD) (versão anterior)

Aplica-se a: ✔️ Conjuntos de escala flexível Linux VMs ✔️

A nova versão da Encriptação do Disco Azure elimina o requisito para fornecer um parâmetro de aplicação Azure Ative Directory (Azure AD) para permitir a encriptação do disco VM. Com a nova versão, já não é obrigado a fornecer credenciais AZure AD durante o passo de encriptação ativa. Todos os novos VMs devem ser encriptados sem os parâmetros da aplicação AD Azure utilizando a nova versão. Para obter instruções sobre como ativar a encriptação do disco VM utilizando a nova versão, consulte a Encriptação do Disco Azure para Os VMs Linux. Os VMs que já estavam encriptados com os parâmetros da aplicação AD Azure ainda são suportados e devem continuar a ser mantidos com a sintaxe AAD.

Este artigo fornece suplementos à Encriptação do Disco Azure para Os VMs Linux com requisitos adicionais e pré-requisitos para encriptação de disco Azure com Azure AD (versão anterior).

A informação nestas secções permanece a mesma:

Política de Networking e Grupo

Para ativar a função de encriptação do disco Azure utilizando a sintaxe de parâmetro AAD mais antiga, a infraestrutura como um VMs de serviço (IaaS) deve satisfazer os seguintes requisitos de configuração do ponto final da rede:

  • Para obter um token para ligar ao seu cofre chave, o IaaS VM deve ser capaz de ligar a um ponto final AZure AD, [login.microsoftonline.com].
  • Para escrever as chaves de encriptação do cofre da chave, o IaaS VM deve ser capaz de ligar ao ponto final do cofre.
  • O IaaS VM deve ser capaz de se conectar a um ponto final de armazenamento Azure que acolhe o repositório de extensão Azure e uma conta de armazenamento Azure que acolhe os ficheiros VHD.
  • Se a sua política de segurança limitar o acesso dos VMs Azure à internet, pode resolver o URI anterior e configurar uma regra específica para permitir a conectividade de saída aos IPs. Para mais informações, consulte o Cofre da Chave Azure atrás de uma firewall.
  • No Windows, se o TLS 1.0 for explicitamente desativado e a versão .NET não for atualizada para 4.6 ou superior, a seguinte alteração de registo permite à Encriptação do Disco Azure selecionar a versão TLS mais recente:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Política de Grupo

  • A solução de encriptação do disco Azure utiliza o protetor de chave externo BitLocker para Windows IaaS VMs. Para VMs unidos por domínio, não pressione nenhuma Política de Grupo que aplique protetores TPM. Para obter informações sobre a Política de Grupo para a opção Permitir bitLocker sem um TPM compatível, consulte a referência política do grupo BitLocker.

  • A política do BitLocker sobre máquinas virtuais unidas a domínios com uma Política de Grupo personalizada deve incluir a seguinte definição: Configurar o armazenamento do utilizador de informações de recuperação bitLocker -> Permitir uma chave de recuperação de 256 bits. A encriptação do disco Azure falha quando as definições personalizadas da Política de Grupo para BitLocker são incompatíveis. Nas máquinas que não têm a definição de política correta, aplique a nova política, force a nova política a atualizar (gpupdate.exe/força) e, em seguida, reinicie se for necessário.

Requisitos de armazenamento de chaves de encriptação

A encriptação do disco Azure requer a Azure Key Vault para controlar e gerir chaves e segredos de encriptação de discos. O seu cofre-chave e VMs devem residir na mesma região de Azure e subscrição.

Para obter mais informações, consulte criar e configurar um cofre chave para encriptação do disco Azure com Azure AD (versão anterior).

Passos seguintes