Microsoft Entra Id (önceki sürüm) ile Azure Disk Şifrelemesi
Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Esnek ölçek kümeleri
yeni Azure Disk Şifrelemesi sürümü, VM disk şifrelemesini etkinleştirmek için bir Microsoft Entra uygulama parametresi sağlama gereksinimini ortadan kaldırır. Yeni sürümle birlikte, şifrelemeyi etkinleştirme adımı sırasında artık Microsoft Entra kimlik bilgilerini sağlamanız gerekmez. Tüm yeni VM'ler, yeni sürüm kullanılarak Microsoft Entra uygulama parametreleri olmadan şifrelenmelidir. Yeni sürümü kullanarak VM disk şifrelemesini etkinleştirme yönergeleri için bkz. Linux VM'leri için Azure Disk Şifrelemesi. Microsoft Entra uygulama parametreleriyle zaten şifrelenmiş vm'ler hala desteklenir ve Microsoft Entra söz dizimi ile korunmaya devam etmelidir.
Bu makalede, Microsoft Entra ID (önceki sürüm) ile Azure Disk Şifrelemesi için ek gereksinimler ve önkoşullar içeren Linux VM'leri için Azure Disk Şifrelemesi ekleri sağlanır.
Bu bölümlerdeki bilgiler aynı kalır:
Ağ ve Grup İlkesi
Eski Microsoft Entra parametre söz dizimini kullanarak Azure Disk Şifrelemesi özelliğini etkinleştirmek için hizmet olarak altyapı (IaaS) VM'lerinin aşağıdaki ağ uç noktası yapılandırma gereksinimlerini karşılaması gerekir:
- Anahtar kasanıza bağlanmak üzere bir belirteç almak için IaaS VM'sinin [login.microsoftonline.com] bir Microsoft Entra uç noktasına bağlanabilmesi gerekir.
- Şifreleme anahtarlarını anahtar kasanıza yazmak için IaaS VM'sinin anahtar kasası uç noktasına bağlanabilmesi gerekir.
- IaaS VM'sinin Azure uzantı deposunu barındıran bir Azure depolama uç noktasına ve VHD dosyalarını barındıran bir Azure depolama hesabına bağlanabilmesi gerekir.
- Güvenlik ilkeniz Azure VM'lerinden İnternet'e erişimi kısıtlıyorsa, önceki URI'yi çözümleyebilir ve IP'lere giden bağlantıya izin verecek belirli bir kuralı yapılandırabilirsiniz. Daha fazla bilgi için bkz . Güvenlik duvarının arkasındaki Azure Key Vault.
- Windows'da TLS 1.0 açıkça devre dışı bırakılırsa ve .NET sürümü 4.6 veya üzeri bir sürüme güncelleştirilmezse, aşağıdaki kayıt defteri değişikliği Azure Disk Şifrelemesi en son TLS sürümünü seçmesini sağlar:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
Grup İlkesi
Azure Disk Şifrelemesi çözümü, Windows IaaS VM'leri için BitLocker dış anahtar koruyucusunu kullanır. Etki alanına katılmış VM'ler için TPM koruyucularını zorunlu kılan hiçbir Grup İlkesini göndermeyin. Uyumlu bir TPM olmadan BitLocker'a izin ver seçeneği için Grup İlkesi hakkında bilgi için bkz. BitLocker Grup İlkesi başvurusu.
Özel grup ilkesine sahip etki alanına katılmış sanal makinelerde BitLocker ilkesi şu ayarı içermelidir: BitLocker kurtarma bilgilerinin kullanıcı depolamasını yapılandırma -> 256 bit kurtarma anahtarına izin ver. BitLocker için özel Grup İlkesi ayarları uyumsuz olduğunda Azure Disk Şifrelemesi başarısız olur. Doğru ilke ayarına sahip olmayan makinelerde yeni ilkeyi uygulayın, yeni ilkeyi güncelleştirmeye zorlayın (gpupdate.exe /force) ve gerekirse yeniden başlatın.
Şifreleme anahtarı depolama gereksinimleri
Azure Disk Şifrelemesi için Azure Key Vault'un disk şifreleme anahtarlarını ve gizli dizilerini denetlemesi ve yönetmesi gerekir. Anahtar kasanız ve VM'leriniz aynı Azure bölgesinde ve aboneliğinde bulunmalıdır.
Daha fazla bilgi için bkz. Microsoft Entra ID (önceki sürüm) ile Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma.