Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ Виртуальные машины Windows
Новый выпуск Azure Disk Encryption устраняет необходимость предоставления параметра приложения Microsoft Entra для включения шифрования дисков виртуальной машины. В новом выпуске вы больше не обязаны предоставлять учетные данные Microsoft Entra во время включения шифрования. Все новые виртуальные машины должны быть зашифрованы без параметров приложения Microsoft Entra в соответствии с новым релизом. Инструкции по включению шифрования дисков виртуальных машин при использовании нового выпуска см. в статье Включение шифрования дисков Azure для виртуальных машин IaaS под управлением Windows. Виртуальные машины, которые уже зашифрованы с параметрами приложения Microsoft Entra, по-прежнему поддерживаются и должны продолжать поддерживаться с помощью синтаксиса Microsoft Entra.
Эта статья дополняет Шифрование дисков Azure для виртуальных машин Windows дополнительными требованиями и предпосылками для Шифрования дисков Azure с использованием идентификатора Microsoft Entra (предыдущая версия). Раздел Поддерживаемые виртуальные машины и операционные системы остается без изменений.
Сетевые подключения и групповая политика
Чтобы включить функцию Шифрование дисков Azure с помощью более старого синтаксиса параметра Microsoft Entra, виртуальные машины IaaS должны соответствовать следующим требованиям к конфигурации конечной точки сети:
- Чтобы получить маркер для подключения к хранилищу ключей, виртуальная машина IaaS должна иметь возможность подключаться к конечной точке Microsoft Entra [login.microsoftonline.com].
- Для записи ключей шифрования в ваше хранилище ключей виртуальная машина IaaS должна иметь возможность подключиться к конечной точке хранилища ключей.
- Виртуальная машина IaaS должна иметь возможность подключиться к конечной точке службы хранилища Azure, в которой размещен репозиторий расширений Azure, и к учетной записи хранения Azure, в которой размещены VHD-файлы.
- Если политика безопасности ограничивает доступ из виртуальных машин Azure к Интернету, можно разрешить предыдущий URI и настроить конкретное правило для разрешения исходящих подключений к IP-адресам. Дополнительные сведения см. в статье Доступ к Azure Key Vault из-за брандмауэра.
- Виртуальная машина для шифрования должна быть настроена на использование TLS 1.2 в качестве протокола по умолчанию. Если протокол TLS 1.0 был явно отключен и версия .NET не была обновлена до версии 4.6 или выше, то следующее изменение реестра позволит ADE выбрать более последнюю версию TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
Групповая политика:
Решение шифрования дисков Azure использует внешний предохранитель ключа BitLocker для виртуальных машин IaaS под управлением Windows. Для виртуальных машин, присоединенных к домену, не навязывайте групповые политики, которые применяют средства защиты TPM. Сведения о групповой политике "Разрешить использование BitLocker без совместимого TPM" см. в справке по групповым политикам BitLocker.
Политика BitLocker на присоединенных к домену виртуальных машинах с настраиваемой групповой политикой должна включать следующий параметр: Configure user storage of BitLocker recovery information (Настроить сведения о восстановлении BitLocker в пользовательском хранилище данных) > >Allow 256-bit recovery key (Разрешить 256-разрядный ключ восстановления). Шифрование дисков Azure даст сбой, если параметры настраиваемой групповой политики для BitLocker несовместимы. На компьютерах, на которых не установлен правильный параметр политики, примените новую политику, принудительно обновите новую политику (gpupdate.exe /force), после чего может потребоваться перезапуск.
Требования к хранилищу ключей шифрования
Службе шифрования дисков Azure необходимо Azure Key Vault, чтобы управлять секретами и ключами шифрования дисков и контролировать их. Хранилище ключей и виртуальные машины должны находиться в одном регионе и подписке Azure.
Для получения дополнительных сведений см. Создание и настройка хранилища ключей для шифрования дисков Azure с Microsoft Entra ID (предыдущий выпуск).
Следующие шаги
- Создание и настройка хранилища ключей для Шифрование дисков Azure с помощью идентификатора Microsoft Entra (предыдущий выпуск)
- Включение шифрования дисков Azure с использованием Microsoft Entra ID на виртуальных машинах Windows (предыдущая версия)
- Скрипт CLI для подготовки необходимых компонентов для службы "Шифрование дисков Azure"
- Скрипт PowerShell для подготовки необходимых компонентов для службы "Шифрование дисков Azure"