Azure Disk Encryption med Azure AD (tidigare version)

  • Artikel

Gäller för: ✔️ Virtuella Windows-datorer

Den nya versionen av Azure Disk Encryption eliminerar kravet på att tillhandahålla en Microsoft Entra-programparameter för att aktivera diskkryptering för virtuella datorer. Med den nya versionen behöver du inte längre ange Microsoft Entra-autentiseringsuppgifter under steget aktivera kryptering. Alla nya virtuella datorer måste krypteras utan Microsoft Entra-programparametrarna med den nya versionen. Information om hur du aktiverar diskkryptering för virtuella datorer med den nya versionen finns i Azure Disk Encryption för virtuella Windows-datorer. Virtuella datorer som redan har krypterats med Microsoft Entra-programparametrar stöds fortfarande och bör fortsätta att underhållas med Microsoft Entra-syntaxen.

Den här artikeln kompletterar Azure Disk Encryption för virtuella Windows-datorer med ytterligare krav och krav för Azure Disk Encryption med Microsoft Entra-ID (tidigare version). Avsnittet Virtuella datorer och operativsystem som stöds förblir desamma.

Nätverk och grupprincip

För att aktivera funktionen Azure Disk Encryption med den äldre Microsoft Entra-parametersyntaxen måste de virtuella IaaS-datorerna uppfylla följande konfigurationskrav för nätverksslutpunkten:

  • För att få en token för att ansluta till ditt nyckelvalv måste den virtuella IaaS-datorn kunna ansluta till en Microsoft Entra-slutpunkt, [login.microsoftonline.com].
  • Om du vill skriva krypteringsnycklarna till ditt nyckelvalv måste den virtuella IaaS-datorn kunna ansluta till nyckelvalvsslutpunkten.
  • Den virtuella IaaS-datorn måste kunna ansluta till en Azure Storage-slutpunkt som är värd för Lagringsplatsen för Azure-tillägget och ett Azure-lagringskonto som är värd för VHD-filerna.
  • Om din säkerhetsprincip begränsar åtkomsten från virtuella Azure-datorer till Internet kan du lösa föregående URI och konfigurera en specifik regel för att tillåta utgående anslutning till IP-adresserna. Mer information finns i Azure Key Vault bakom en brandvägg.
  • Den virtuella datorn som ska krypteras måste konfigureras att använda TLS 1.2 som standardprotokoll. Om TLS 1.0 uttryckligen har inaktiverats och .NET-versionen inte har uppdaterats till 4.6 eller senare, gör följande registerändring att ADE kan välja den nyare TLS-versionen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`

Grupprincip:

  • Azure Disk Encryption-lösningen använder bitLocker-skyddet för externa nycklar för virtuella Windows IaaS-datorer. För domänanslutna virtuella datorer ska du inte push-överföra några grupprinciper som framtvingar TPM-skydd. Information om grupprincipen för "Tillåt BitLocker utan kompatibel TPM" finns i Referens för BitLocker-grupprincip.

  • BitLocker-principen på domänanslutna virtuella datorer med anpassad grupprincip måste innehålla följande inställning: Konfigurera användarlagring av BitLocker-återställningsinformation –> Tillåt 256-bitars återställningsnyckel. Azure Disk Encryption misslyckas när anpassade grupprincipinställningar för BitLocker är inkompatibla. På datorer som inte hade rätt principinställning tillämpar du den nya principen, tvingar den nya principen att uppdatera (gpupdate.exe /force) och startar sedan om.

Lagringskrav för krypteringsnycklar

Azure Disk Encryption kräver ett Azure Key Vault för att styra och hantera diskkrypteringsnycklar och hemligheter. Dina nyckelvalv och virtuella datorer måste finnas i samma Azure-region och prenumeration.

Mer information finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption med Microsoft Entra ID (tidigare version).

Nästa steg