使用 Azure AD 進行 Azure 磁碟加密 (舊版)
適用於:✔️ Windows VM
新版的 Azure 磁碟加密不需要提供 Microsoft Entra 應用程式參數,即可啟用 VM 磁碟加密。 若使用新版本,您就無須在啟用加密步驟期間提供 Microsoft Entra 認證。 若使用新版本,所有新的 VM 必須經過加密,而不需要 Microsoft Entra 應用程式參數。 若要檢視使用新版本來啟用 VM 磁碟加密的指示,請參閱適用於 Windows VM 的 Azure 磁碟加密。 已經使用 Microsoft Entra 應用程式參數進行加密的 VM 仍然受支援,且應該繼續使用 Microsoft Entra 語法進行維護。
本文補充說明適用於 Windows VM 的 Azure 磁碟加密,其中包含使用 Microsoft Entra ID (舊版) 進行 Azure 磁碟加密的其他需求和必要條件。 支援的 VM 和作業系統區段維持不變。
網路和群組原則
若要使用較舊的 Microsoft Entra 參數語法啟用 Azure 磁碟加密功能,IaaS VM 必須符合下列網路端點組態需求:
- 若要取得權杖以連線至金鑰保存庫,IaaS VM 必須能連線至 Microsoft Entra 端點 [login.microsoftonline.com]。
- 若要將加密金鑰寫入至您的金鑰保存庫,IaaS VM 必須能連接至金鑰保存庫端點。
- IaaS VM 必須能連接至託管 Azure 擴充儲存機制的 Azure 儲存體端點,和託管 VHD 檔案的 Azure 儲存體帳戶。
- 如果您的安全性原則限制從 Azure VM 到網際網路的存取,您可以解析前述的 URI,並設定特定規則以允許輸出連線到 IP。 如需詳細資訊,請參閱防火牆後方的 Azure Key Vault。
- 要加密的 VM 必須設定為使用 TLS 1.2 作為預設通訊協定。 如果已明確停用 TLS 1.0 且 .NET 版本未更新為 4.6 或更新版本,則下列登錄變更將支援 ADE 選取較新的 TLS 版本:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
群組原則:
Azure 磁碟加密解決方案對 Windows IaaS VM 使用 BitLocker 外部金鑰保護裝置。 對於加入網域的 VM,請勿強制推行任何強加於 TPM 保護裝置的群組原則。 如需關於「在不含相容 TPM 的情形下允許使用 BitLocker」的群組原則相關資訊,請參閱 BitLocker 群組原則參考文件。
適用於具有自訂群組原則且已加入網域之虛擬機器上的 BitLocker 原則必須包含下列設定:設定 BitLocker 復原資訊的使用者儲存體 -> >允許 256 位元的復原金鑰。 當 BitLocker 的自訂群組原則設定不相容時,Azure 磁碟加密將會失去作用。 請在沒有正確原則設定的電腦上,套用新原則、對新原則作強制更新 (gpupdate.exe /force),且可能必須重新開機。
加密金鑰儲存體需求
Azure 磁碟加密需要 Azure Key Vault 來控管磁碟加密金鑰及祕密。 您的金鑰保存庫必須和 VM 位於相同的 Azure 區域和訂閱中。
如需詳細資料,請參閱使用 Microsoft Entra ID (舊版) 建立和設定 Azure 磁碟加密的金鑰保存庫。