Compartilhar via


Azure Disk Encryption com Azure AD (versão anterior)

Aplica-se a: ✔️ Windows VMs

A nova versão do Azure Disk Encryption elimina a exigência de fornecer um parâmetro de aplicativo do Microsoft Entra para habilitar a criptografia de disco de VM. Com a nova versão, não é mais exigido que você forneça as credenciais do Microsoft Entra durante a etapa de habilitação da criptografia. Todas as novas VMs devem ser criptografadas sem os parâmetros do aplicativo Microsoft Entra utilizando a nova versão. Para ver instruções de como habilitar a criptografia de disco da VM usando a nova versão, confira Azure Disk Encryption para VMs do Windows. As VMs que já estavam criptografadas com os parâmetros do aplicativo Microsoft Entra ainda têm suporte e devem continuar a ser mantidas com a sintaxe do Microsoft Entra.

Este artigo complementa Azure Disk Encryption para VMs do Windows com requisitos e pré-requisitos adicionais para Azure Disk Encryption com o Microsoft Entra ID (versão anterior). A seção VMs e sistemas operacionais com suporte permanece a mesma.

Sistema de rede e a diretiva de grupo

Para habilitar o recurso de Azure Disk Encryption usando a sintaxe de parâmetro mais antiga do Microsoft Entra, as VMs IaaS precisam atender aos seguintes requisitos de configuração do ponto de extremidade da rede:

  • Para obter um token para se conectar ao seu cofre de chaves, a VM IaaS precisa ser capaz de se conectar a um ponto de extremidade do Microsoft Entra, [login.microsoftonline.com].
  • Para gravar as chaves de criptografia no cofre de chaves, a VM IaaS deve ser capaz de se conectar ao ponto de extremidade do cofre de chaves.
  • A VM IaaS deve ser capaz de se conectar a um ponto de extremidade do armazenamento do Azure que hospeda o repositório de extensão do Azure e uma conta de armazenamento do Azure que hospeda os arquivos VHD.
  • Se a política de segurança limita o acesso de VMs do Azure à Internet, você pode resolver o URI anterior e configurar uma regra específica para permitir a conectividade de saída para os IPs. Para obter mais informações, consulte Azure Key Vault por trás de um firewall.
  • A VM a ser criptografada deverá ser configurada para usar o TLS 1.2 como o protocolo padrão. Se o TLS 1.0 foi desabilitado explicitamente e a versão do .NET não foi atualizada para 4.6 ou superior, a seguinte alteração do registro permitirá que o ADE selecione a versão mais recente do TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Política de grupo:

  • A solução de Azure Disk Encryption usa o protetor de chave externa BitLocker para VMs IaaS do Windows. Para VMs ingressado no domínio, não envie por push todas as políticas de grupo que imponham protetores TPM. Para obter informações sobre a política de grupo "Permitir BitLocker sem um TPM compatível", confira Referência de política de grupo do BitLocker.

  • Políticas do BitLocker em máquinas virtuais conectadas ao domínio com uma política de grupo personalizado devem incluir a seguinte configuração: Configurar o armazenamento do usuário das informações de recuperação do BitLocker -> Permitir chave de recuperação de 256 bits. O Azure Disk Encryption falha quando as configurações da política de grupo personalizada para o BitLocker são incompatíveis. Em computadores que não tinham a configuração de política correta, aplique a nova política, force a atualização da nova política (gpupdate.exe /force) e, em seguida, pode ser necessário reiniciar.

Requisitos de armazenamento de chave de criptografia

O Azure Disk Encryption requer um Azure Key Vault para ajudar você a controlar e gerenciar os segredos e chaves de criptografia de disco. Seu cofre de chaves e as VMs devem residir na mesma região e assinatura do Azure.

Para obter detalhes, confiraCriação e configuração de um cofre de chaves para Azure Disk Encryption com o Microsoft Entra ID (versão anterior).

Próximas etapas