Partilhar via


Azure Disk Encryption com o Azure AD (versão anterior)

Aplica-se a: ✔️ VMs do Windows

A nova versão da Criptografia de Disco do Azure elimina a necessidade de fornecer um parâmetro de aplicativo Microsoft Entra para habilitar a criptografia de disco de VM. Com a nova versão, não é mais necessário fornecer credenciais do Microsoft Entra durante a etapa de habilitação de criptografia. Todas as novas VMs devem ser criptografadas sem os parâmetros do aplicativo Microsoft Entra usando a nova versão. Para exibir instruções para habilitar a criptografia de disco de VM usando a nova versão, consulte Azure Disk Encryption for Windows VMs. As VMs que já foram criptografadas com os parâmetros do aplicativo Microsoft Entra ainda são suportadas e devem continuar a ser mantidas com a sintaxe do Microsoft Entra.

Este artigo complementa o Azure Disk Encryption para VMs do Windows com requisitos adicionais e pré-requisitos para o Azure Disk Encryption com Microsoft Entra ID (versão anterior). A seção VMs e sistemas operacionais suportados permanece a mesma.

Rede e Diretiva de Grupo

Para habilitar o recurso Azure Disk Encryption usando a sintaxe de parâmetro mais antiga do Microsoft Entra, as VMs IaaS devem atender aos seguintes requisitos de configuração de ponto de extremidade de rede:

  • Para obter um token para se conectar ao seu cofre de chaves, a VM IaaS deve ser capaz de se conectar a um ponto de extremidade Microsoft Entra, [login.microsoftonline.com].
  • Para gravar as chaves de criptografia no cofre de chaves, a VM IaaS deve ser capaz de se conectar ao ponto de extremidade do cofre de chaves.
  • A VM IaaS deve ser capaz de se conectar a um ponto de extremidade de armazenamento do Azure que hospeda o repositório de extensão do Azure e uma conta de armazenamento do Azure que hospeda os arquivos VHD.
  • Se sua política de segurança limitar o acesso das VMs do Azure à Internet, você poderá resolver o URI anterior e configurar uma regra específica para permitir a conectividade de saída com os IPs. Para obter mais informações, consulte Azure Key Vault behind a firewall.
  • A VM a ser criptografada deve ser configurada para usar TLS 1.2 como o protocolo padrão. Se o TLS 1.0 tiver sido explicitamente desativado e a versão .NET não tiver sido atualizada para 4.6 ou superior, a seguinte alteração do Registro permitirá que o ADE selecione a versão mais recente do TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Política de Grupo:

  • A solução Azure Disk Encryption usa o protetor de chave externa BitLocker para VMs IaaS do Windows. Para VMs ingressadas no domínio, não envie por push nenhuma política de grupo que imponha protetores TPM. Para obter informações sobre a política de grupo para "Permitir BitLocker sem um TPM compatível", consulte Referência da Política de Grupo do BitLocker.

  • A política do BitLocker em máquinas virtuais ingressadas no domínio com política de grupo personalizada deve incluir a seguinte configuração: Configurar o armazenamento do usuário das informações de recuperação do BitLocker -> Permitir chave de recuperação de 256 bits. A Criptografia de Disco do Azure falhará quando as configurações de política de grupo personalizadas para o BitLocker forem incompatíveis. Em máquinas que não têm a configuração de política correta, aplique a nova política, force a nova política a atualizar (gpupdate.exe /force) e, em seguida, a reinicialização pode ser necessária.

Requisitos do armazenamento de chaves de encriptação

O Azure Disk Encryption requer um Cofre de Chaves do Azure para controlar e gerenciar chaves e segredos de criptografia de disco. Seu cofre de chaves e VMs devem residir na mesma região e assinatura do Azure.

Para obter detalhes, consulte Criando e configurando um cofre de chaves para o Azure Disk Encryption com o Microsoft Entra ID (versão anterior).

Próximos passos