Sdílet prostřednictvím

Azure Disk Encryption se službou Azure AD (předchozí verze)

  • Článek

Platí pro: ✔️ Virtuální počítače s Windows

Nová verze služby Azure Disk Encryption eliminuje požadavek na poskytnutí parametru aplikace Microsoft Entra pro povolení šifrování disků virtuálního počítače. V nové verzi už během kroku povolení šifrování nemusíte zadávat přihlašovací údaje Microsoft Entra. Všechny nové virtuální počítače musí být šifrované bez parametrů aplikace Microsoft Entra pomocí nové verze. Pokyny k povolení šifrování disků virtuálního počítače pomocí nové verze najdete v tématu Azure Disk Encryption pro virtuální počítače s Windows. Virtuální počítače, které už byly zašifrované pomocí parametrů aplikace Microsoft Entra, se stále podporují a měly by se dál udržovat pomocí syntaxe Microsoft Entra.

Tento článek doplňuje službu Azure Disk Encryption pro virtuální počítače s Windows dalšími požadavky a požadavky pro službu Azure Disk Encryption s Id Microsoft Entra (předchozí verze). Část Podporované virtuální počítače a operační systémy zůstávají stejné.

Sítě a zásady skupiny

Pokud chcete povolit funkci Azure Disk Encryption pomocí starší syntaxe parametrů Microsoft Entra, musí virtuální počítače IaaS splňovat následující požadavky na konfiguraci koncového bodu sítě:

  • Pokud chcete získat token pro připojení k trezoru klíčů, musí se virtuální počítač IaaS připojit ke koncovému bodu Microsoft Entra [login.microsoftonline.com].
  • Pokud chcete do trezoru klíčů zapisovat šifrovací klíče, musí se virtuální počítač IaaS připojit ke koncovému bodu trezoru klíčů.
  • Virtuální počítač IaaS musí být schopný se připojit ke koncovému bodu úložiště Azure, který je hostitelem úložiště rozšíření Azure, a účtu úložiště Azure, který je hostitelem souborů VHD.
  • Pokud vaše zásady zabezpečení omezují přístup z virtuálních počítačů Azure na internet, můžete přeložit předchozí identifikátor URI a nakonfigurovat konkrétní pravidlo, které povolí odchozí připojení k IP adresám. Další informace najdete v tématu Azure Key Vault za bránou firewall.
  • Virtuální počítač, který se má šifrovat, musí být nakonfigurovaný tak, aby jako výchozí protokol používal protokol TLS 1.2. Pokud je protokol TLS 1.0 explicitně zakázaný a verze .NET nebyla aktualizována na verzi 4.6 nebo vyšší, následující změna registru umožní ADE vybrat novější verzi protokolu TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`

Zásady skupiny:

  • Řešení Azure Disk Encryption používá ochranu externího klíče BitLockeru pro virtuální počítače IaaS s Windows. U virtuálních počítačů připojených k doméně nenasdílejte žádné zásady skupiny, které vynucují ochranu ČIPEM TPM. Informace o zásadách skupiny pro povolení BitLockeru bez kompatibilního čipu TPM najdete v tématu Referenční informace o zásadách skupiny nástroje BitLocker.

  • Zásady BitLockeru na virtuálních počítačích připojených k doméně s vlastními zásadami skupiny musí obsahovat následující nastavení: Nakonfigurujte uživatelské úložiště informací o obnovení BitLockeru –> Povolit 256bitový obnovovací klíč. Azure Disk Encryption selže, když jsou vlastní nastavení zásad skupiny pro BitLocker nekompatibilní. Na počítačích, které nemají správné nastavení zásad, použijte novou zásadu, vynuťte, aby se nová zásada aktualizovala (gpupdate.exe /force) a pak se může vyžadovat restartování.

Požadavky na úložiště šifrovacích klíčů

Azure Disk Encryption vyžaduje, aby služba Azure Key Vault řídila a spravuje šifrovací klíče a tajné kódy disků. Váš trezor klíčů a virtuální počítače se musí nacházet ve stejné oblasti a předplatném Azure.

Podrobnosti najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Azure Disk Encryption s ID Microsoft Entra (předchozí verze).

Další kroky