Azure Disk Encryption com Microsoft Entra ID (versão anterior)

Aplica-se a: ✔️ VMs do Linux ✔️ Conjuntos de dimensionamento flexíveis

A nova versão do Azure Disk Encryption elimina a exigência de fornecer um parâmetro de aplicativo Microsoft Entra para habilitar a criptografia de disco de VM. Com a nova versão, não é mais exigido que você forneça as credenciais do Microsoft Entra durante a etapa de habilitação da criptografia. Todas as novas VMs devem ser criptografadas sem os parâmetros do aplicativo Microsoft Entra utilizando a nova versão. Para obter instruções para habilitar a criptografia de disco de VM usando a nova versão, veja Azure Disk Encryption para VMs do Linux. As VMs que já estavam criptografadas com os parâmetros do aplicativo Microsoft Entra ainda têm suporte e devem continuar a ser mantidas com a sintaxe do Microsoft Entra.

Este artigo fornece suplementos para o Azure Disk Encryption para VMs Linux com requisitos e pré-requisitos adicionais para o Azure Disk Encryption com Microsoft Entra ID (versão anterior).

As informações contidas nessas seções permanecem as mesmas:

• Sistemas operacionais e VMs com suporte
• Requisitos adicionais da VM

Sistema de rede e a diretiva de grupo

Para habilitar o recurso Azure Disk Encryption usando a sintaxe de parâmetro mais antiga do Microsoft Entra, as VMs IaaS (infraestrutura como serviço) devem atender aos seguintes requisitos de configuração de ponto de extremidade de rede:

• Para obter um token para se conectar ao seu cofre de chaves, a VM IaaS deve poder se conectar a um ponto de extremidade do Microsoft Entra, [login.microsoftonline.com].
• Para gravar as chaves de criptografia no cofre de chaves, a VM IaaS deve ser capaz de se conectar ao ponto de extremidade do cofre de chaves.
• A VM IaaS deve ser capaz de se conectar a um ponto de extremidade do armazenamento do Azure que hospeda o repositório de extensão do Azure e uma conta de armazenamento do Azure que hospeda os arquivos VHD.
• Se a política de segurança limita o acesso de VMs do Azure à Internet, você pode resolver o URI anterior e configurar uma regra específica para permitir a conectividade de saída para os IPs. Para obter mais informações, consulte Azure Key Vault por trás de um firewall.
• No Windows, se o TLS 1.0 está desabilitado explicitamente e a versão do .NET não foi atualizada para 4.6 ou superior, a seguinte alteração do registro permite que o Azure Disk Encryption selecione a versão mais recente do TLS:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Política de Grupo

• A solução de Azure Disk Encryption usa o protetor de chave externa BitLocker para VMs IaaS do Windows. Para VMs ingressado no domínio, não envie por push todas as Políticas de Grupo que imponham protetores TPM. Para obter informações sobre a Política de Grupo para a opção Permitir BitLocker sem um TPM compatível, confira Referência de Política de Grupo do BitLocker.

• A Política do BitLocker em máquinas virtuais de domínio associado com uma Política de Grupo personalizado deve incluir a seguinte configuração: Configurar o armazenamento de usuário das informações de recuperação do BitLocker -> Permitir chave de recuperação de 256 bits. O Azure Disk Encryption falha quando as configurações da Política de Grupo personalizada para o BitLocker são incompatíveis. Em computadores que não têm a configuração de política correta, aplique a nova política, force a atualização da nova política (gpupdate.exe /force) e, em seguida, reiniciar se for necessário.

Requisitos de armazenamento de chave de criptografia

O Azure Disk Encryption requer o Azure Key Vault para ajudar você a controlar e gerenciar os segredos e chaves de criptografia de disco. Seu cofre de chaves e as VMs devem residir na mesma região e assinatura do Azure.

Para obter mais informações, confira Criação e configuração de um cofre de chaves para o Azure Disk Encryption com o Microsoft Entra ID (versão anterior).

Próximas etapas

• Criação e configuração de um cofre de chaves para o Azure Disk Encryption com o Microsoft Entra ID (versão anterior)
• Habilitar o Azure Disk Encryption com o Microsoft Entra ID em VMs Linux (versão anterior)
• Script da CLI dos pré-requisitos do Azure Disk Encryption
• Script do PowerShell dos pré-requisitos do Azure Disk Encryption