Azure Disk Encryption met Azure AD (vorige release)
Van toepassing op: ✔️ Windows-VM's
De nieuwe versie van Azure Disk Encryption elimineert de vereiste voor het instellen van een Microsoft Entra-toepassingsparameter om VM-schijfversleuteling in te schakelen. Met de nieuwe release bent u niet meer verplicht om Microsoft Entra-referenties op te geven tijdens de stap versleuteling inschakelen. Alle nieuwe VM's moeten worden versleuteld zonder de Microsoft Entra-toepassingsparameters met behulp van de nieuwe release. Zie Azure Disk Encryption voor Windows-VM's voor instructies voor het inschakelen van VM-schijfversleuteling met behulp van de nieuwe versie. VM's die al zijn versleuteld met Microsoft Entra-toepassingsparameters, worden nog steeds ondersteund en moeten nog steeds worden onderhouden met de Microsoft Entra-syntaxis.
Dit artikel is een aanvulling op Azure Disk Encryption voor Windows-VM's met aanvullende vereisten en vereisten voor Azure Disk Encryption met Microsoft Entra ID (vorige release). De sectie Ondersteunde VM's en besturingssystemen blijft hetzelfde.
Netwerk- en groepsbeleid
Als u de Azure Disk Encryption-functie wilt inschakelen met behulp van de oudere syntaxis van de Microsoft Entra-parameter, moeten de IaaS-VM's voldoen aan de volgende configuratievereisten voor netwerkeindpunten:
- Als u een token wilt ophalen om verbinding te maken met uw sleutelkluis, moet de IaaS-VM verbinding kunnen maken met een Microsoft Entra-eindpunt, [login.microsoftonline.com].
- Als u de versleutelingssleutels naar uw sleutelkluis wilt schrijven, moet de IaaS-VM verbinding kunnen maken met het eindpunt van de sleutelkluis.
- De IaaS-VM moet verbinding kunnen maken met een Azure-opslageindpunt dat als host fungeert voor de Azure-extensieopslagplaats en een Azure-opslagaccount dat als host fungeert voor de VHD-bestanden.
- Als uw beveiligingsbeleid de toegang van Azure-VM's tot internet beperkt, kunt u de voorgaande URI oplossen en een specifieke regel configureren om uitgaande connectiviteit met de IP-adressen toe te staan. Zie Azure Key Vault achter een firewall voor meer informatie.
- De vm die moet worden versleuteld, moet worden geconfigureerd voor het gebruik van TLS 1.2 als het standaardprotocol. Als TLS 1.0 expliciet is uitgeschakeld en de .NET-versie niet is bijgewerkt naar 4.6 of hoger, zorgt de volgende registerwijziging ervoor dat ADE de recentere TLS-versie kan selecteren:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
Groepsbeleid:
De Azure Disk Encryption-oplossing maakt gebruik van de externe BitLocker-sleutelbeveiliging voor Windows IaaS-VM's. Voor vm's die lid zijn van een domein, pusht u geen groepsbeleid dat TPM-beveiliging afdwingt. Zie de referentie voor BitLocker-groepsbeleid voor informatie over het groepsbeleid 'BitLocker zonder compatibele TPM toestaan'.
BitLocker-beleid op virtuele machines die lid zijn van een domein met aangepast groepsbeleid moet de volgende instelling bevatten: Gebruikersopslag van BitLocker-herstelgegevens configureren -> 256-bits herstelsleutel toestaan. Azure Disk Encryption mislukt wanneer aangepaste groepsbeleidsinstellingen voor BitLocker niet compatibel zijn. Op computers waarop de juiste beleidsinstelling niet is ingesteld, past u het nieuwe beleid toe, dwingt u af dat het nieuwe beleid wordt bijgewerkt (gpupdate.exe /force) en moet het opnieuw opstarten mogelijk worden vereist.
Opslagvereisten voor versleutelingssleutels
Azure Disk Encryption vereist een Azure Key Vault om schijfversleutelingssleutels en -geheimen te beheren. Uw sleutelkluis en VM's moeten zich in dezelfde Azure-regio en hetzelfde abonnement bevinden.
Zie Een sleutelkluis voor Azure Disk Encryption maken en configureren met Microsoft Entra-id (vorige versie) voor meer informatie.
Volgende stappen
- Een sleutelkluis maken en configureren voor Azure Disk Encryption met Microsoft Entra-id (vorige release)
- Azure Disk Encryption met Microsoft Entra-id inschakelen op Windows-VM's (vorige release)
- CLI-script met vereisten voor Azure Disk Encryption
- PowerShell-script met vereisten voor Azure Disk Encryption