Шифрование дисков Azure с идентификатором Microsoft Entra (предыдущий выпуск)

Область применения: ✔️ Виртуальные машины Linux ✔️ Гибкие масштабируемые наборы

Новый выпуск Шифрование дисков Azure устраняет требование для предоставления параметра приложения Microsoft Entra для включения шифрования дисков виртуальной машины. В новом выпуске больше не требуется предоставлять учетные данные Microsoft Entra во время включения шага шифрования. Все новые виртуальные машины должны быть зашифрованы без параметров приложения Microsoft Entra с помощью нового выпуска. Инструкции по включению шифрования дисков виртуальных машин с использованием нового выпуска см. в статье Шифрование дисков Azure для виртуальных машин под управлением Linux. Виртуальные машины, которые уже зашифрованы с параметрами приложения Microsoft Entra, по-прежнему поддерживаются и должны продолжать поддерживаться с помощью синтаксиса Microsoft Entra.

В этой статье приведены дополнения к Шифрование дисков Azure для виртуальных машин Linux с дополнительными требованиями и предварительными требованиями для Шифрование дисков Azure с идентификатором Microsoft Entra (предыдущий выпуск).

Информация в следующих разделах остается неизменной:

• Поддерживаемые виртуальные машины и операционные системы
• Дополнительные требования к виртуальной машине

Сетевые подключения и групповая политика

Чтобы включить функцию Шифрование дисков Azure с помощью более старого синтаксиса параметра Microsoft Entra, виртуальные машины инфраструктуры как службы (IaaS) должны соответствовать следующим требованиям к конфигурации сетевой конечной точки:

• Чтобы получить маркер для подключения к хранилищу ключей, виртуальная машина IaaS должна иметь возможность подключаться к конечной точке Microsoft Entra [login.microsoftonline.com].
• Для записи ключей шифрования в ваше хранилище ключей виртуальная машина IaaS должна иметь возможность подключиться к конечной точке хранилища ключей.
• Виртуальная машина IaaS должна иметь возможность подключиться к конечной точке службы хранилища Azure, в которой размещен репозиторий расширений Azure, и к учетной записи хранения Azure, в которой размещены VHD-файлы.
• Если ваша политика безопасности ограничивает доступ к Интернету с виртуальных машин Azure, можно разрешить указанный выше универсальный код ресурса (URI) и настроить определенное правило, чтобы разрешить исходящие подключения к этим IP-адресам. Дополнительные сведения см. в статье Доступ к Azure Key Vault из-за брандмауэра.
• Если в Windows явно отключен протокол TLS 1.0 и платформа .NET не обновлялась до версии 4.6 или более поздней, нужно внести в реестр следующее изменение, чтобы Шифрование дисков Azure смогло выбрать более свежую версию TLS:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Групповая политика

• Решение шифрования дисков Azure использует внешний предохранитель ключа BitLocker для виртуальных машин IaaS под управлением Windows. Если виртуальные машины присоединены к домену, не применяйте групповые политики, требующие использовать предохранители доверенного платформенного модуля. Сведения о групповой политике Разрешить использование BitLocker без совместимого TPM см. в справочнике по групповым политикам BitLocker.

• Политика Bitlocker на присоединенных к домену виртуальных машинах с настраиваемой групповой политикой должна содержать следующий параметр: Configure user storage of BitLocker recovery information (Настроить сведения о восстановлении BitLocker в пользовательском хранилище данных) -> Разрешить 256-разрядный ключ восстановления. Шифрование дисков Azure завершится ошибкой, если параметры настраиваемой групповой политики для BitLocker несовместимы. На компьютерах без правильно настроенного параметра политики может потребоваться применить новую политику, принудительно обновить ее (gpupdate.exe /force) и перезагрузить компьютер.

Требования к хранилищу ключей шифрования

Службе "Шифрование дисков Azure" требуется, чтобы управление секретами и ключами шифрования дисков выполнялось в Azure Key Vault. Хранилище ключей и виртуальные машины должны находиться в одном регионе и подписке Azure.

Дополнительные сведения см. в статье о создании и настройке хранилища ключей для Шифрование дисков Azure с идентификатором Microsoft Entra (предыдущий выпуск).

Следующие шаги

• Создание и настройка хранилища ключей для Шифрование дисков Azure с помощью идентификатора Microsoft Entra (предыдущий выпуск)
• Включение Шифрование дисков Azure с идентификатором Microsoft Entra на виртуальных машинах Linux (предыдущий выпуск)
• Скрипт CLI для подготовки необходимых компонентов для службы "Шифрование дисков Azure"
• Скрипт PowerShell для подготовки необходимых компонентов для службы "Шифрование дисков Azure"