Azure Disk Encryption med Microsoft Entra ID (tidigare version)

Gäller för: ✔️ Flexibla skalningsuppsättningar för virtuella Linux-datorer ✔️

Den nya versionen av Azure Disk Encryption eliminerar kravet på att tillhandahålla en Microsoft Entra-programparameter för att aktivera diskkryptering för virtuella datorer. Med den nya versionen behöver du inte längre ange Microsoft Entra-autentiseringsuppgifter under steget aktivera kryptering. Alla nya virtuella datorer måste krypteras utan Microsoft Entra-programparametrarna med hjälp av den nya versionen. Anvisningar om hur du aktiverar diskkryptering för virtuella datorer med hjälp av den nya versionen finns i Azure Disk Encryption for Linux VMs (Azure Disk Encryption för virtuella Linux-datorer). Virtuella datorer som redan har krypterats med Microsoft Entra-programparametrar stöds fortfarande och bör fortsätta att underhållas med Microsoft Entra-syntaxen.

Den här artikeln innehåller tillägg till Azure Disk Encryption för virtuella Linux-datorer med ytterligare krav och krav för Azure Disk Encryption med Microsoft Entra-ID (tidigare version).

Informationen i dessa avsnitt är densamma:

Nätverk och grupprincip

Om du vill aktivera funktionen Azure Disk Encryption med hjälp av den äldre Microsoft Entra-parametersyntaxen måste de virtuella IaaS-datorerna (infrastruktur som en tjänst) uppfylla följande konfigurationskrav för nätverksslutpunkter:

  • För att få en token för att ansluta till ditt nyckelvalv måste den virtuella IaaS-datorn kunna ansluta till en Microsoft Entra-slutpunkt, [login.microsoftonline.com].
  • Om du vill skriva krypteringsnycklarna till ditt nyckelvalv måste den virtuella IaaS-datorn kunna ansluta till nyckelvalvsslutpunkten.
  • Den virtuella IaaS-datorn måste kunna ansluta till en Azure Storage-slutpunkt som är värd för Lagringsplatsen för Azure-tillägget och ett Azure-lagringskonto som är värd för VHD-filerna.
  • Om din säkerhetsprincip begränsar åtkomsten från virtuella Azure-datorer till Internet kan du lösa föregående URI och konfigurera en specifik regel för att tillåta utgående anslutning till IP-adresserna. Mer information finns i Azure Key Vault bakom en brandvägg.
  • Om TLS 1.0 uttryckligen är inaktiverat i Windows och .NET-versionen inte har uppdaterats till 4.6 eller senare, gör följande registerändring att Azure Disk Encryption kan välja den nyare TLS-versionen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Grupprincip

  • Azure Disk Encryption-lösningen använder bitLocker-skyddet för externa nycklar för virtuella Windows IaaS-datorer. För domänanslutna virtuella datorer ska du inte push-överföra några grupprinciper som tillämpar TPM-skydd. Information om grupprincipen för alternativet Tillåt BitLocker utan kompatibel TPM finns i Referens för BitLocker-grupprincip.

  • BitLocker-princip på domänanslutna virtuella datorer med en anpassad grupprincip måste innehålla följande inställning: Konfigurera användarlagring av BitLocker-återställningsinformation –> Tillåt 256-bitars återställningsnyckel. Azure Disk Encryption misslyckas när anpassade grupprincipinställningar för BitLocker är inkompatibla. På datorer som inte har rätt principinställning tillämpar du den nya principen, tvingar den nya principen att uppdatera (gpupdate.exe /force) och startar sedan om om den behövs.

Lagringskrav för krypteringsnycklar

Azure Disk Encryption kräver att Azure Key Vault styr och hanterar diskkrypteringsnycklar och hemligheter. Dina nyckelvalv och virtuella datorer måste finnas i samma Azure-region och prenumeration.

Mer information finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption med Microsoft Entra-ID (tidigare version).

Nästa steg