Azure 磁碟加密搭配 Microsoft Entra ID (舊版)
適用於:✔️ Linux VM ✔️ 彈性擴展集
新版的 Azure 磁碟加密不需要提供 Microsoft Entra 應用程式參數,即可啟用 VM 磁碟加密。 若使用新版本,您就無須在啟用加密步驟期間提供 Microsoft Entra 認證。 若使用新版本,所有新的 VM 必須經過加密,而不需要 Microsoft Entra 應用程式參數。 如需使用新版本來啟用 VM 磁碟加密的指示,請參閱適用於 Linux VM 的 Azure 磁碟加密。 已經使用 Microsoft Entra 應用程式參數進行加密的 VM 仍然受支援,且應該繼續使用 Microsoft Entra 語法進行維護。
本文提供了適用於 Linux VM 的 Azure 磁碟加密的補充,其中包含使用 Microsoft Entra ID (舊版) 進行 Azure 磁碟加密的其他需求和必要條件。
這些區段中的資訊保持不變:
網路和群組原則
若要使用較舊的 Microsoft Entra 參數語法啟用 Azure 磁碟加密功能,基礎結構即服務 (IaaS) VM 必須符合下列網路端點組態需求:
- 若要取得用於連線至金鑰保存庫的權杖,IaaS VM 必須能連線至 Microsoft Entra 端點 [login.microsoftonline.com]。
- 若要將加密金鑰寫入至您的金鑰保存庫,IaaS VM 必須能連接至金鑰保存庫端點。
- IaaS VM 必須能連接至託管 Azure 擴充儲存機制的 Azure 儲存體端點,和託管 VHD 檔案的 Azure 儲存體帳戶。
- 如果您的安全性原則會限制從 Azure VM 至網際網路的存取,您可以解析前述的 URI,並設定特定的規則以允許和這些 IP 的輸出連線。 如需詳細資訊,請參閱防火牆後方的 Azure Key Vault。
- 在 Windows 中,如果 TLS 1.0 已明確停用,且 .NET 版本尚未更新到 4.6 版或更新版本,則下列登錄變更會啟用 Azure 磁碟加密來選取較新的 TLS 版本:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
群組原則
Azure 磁碟加密解決方案對 Windows IaaS VM 使用 BitLocker 外部金鑰保護裝置。 對於加入網域的 VM,請勿推送任何會強制使用 TPM 保護裝置的群組原則。 如需關於「在不含相容 TPM 的情形下允許使用 BitLocker」選項的群組原則相關資訊,請參閱 BitLocker 群組原則參考文件。
適用於具有自訂群組原則且已加入網域之虛擬機器上的 BitLocker 原則必須包含下列設定:設定 BitLocker 復原資訊的使用者儲存體 -> 允許 256 位元的復原金鑰。 當 BitLocker 的自訂群組原則設定不相容時,Azure 磁碟加密將會失敗。 在沒有正確原則設定的電腦上,您可能必須套用新的原則、強制新的原則進行更新 (gpupdate.exe /force),然後重新啟動 (如有需要)。
加密金鑰儲存體需求
Azure 磁碟加密需要 Azure Key Vault 來控制及管理磁碟加密金鑰與祕密。 您的金鑰保存庫必須和 VM 位於相同的 Azure 區域和訂閱中。
如需詳細資訊,請參閱使用 Microsoft Entra ID (舊版) 建立和設定 Azure 磁碟加密的金鑰保存庫。