Crittografia dischi di Azure con Microsoft Entra ID (versione precedente)

Si applica a: ✔️ macchine virtuali di Linux ✔️ set di scalabilità flessibili

La nuova versione di Crittografia dischi di Azure elimina la necessità di specificare un parametro dell'applicazione Microsoft Entra per abilitare la crittografia dei dischi per le macchine virtuali. Con la nuova versione, non è più necessario specificare le credenziali di Microsoft Entra durante il passaggio di abilitazione della crittografia. Tutte le nuove macchine virtuali devono essere crittografate senza i parametri dell'applicazione Microsoft Entra. Per istruzioni su come abilitare la crittografia del disco della macchina virtuale usando la nuova versione, vedere Crittografia dischi di Azure per le macchine virtuali Linux. Le macchine virtuali che sono già state crittografate con i parametri dell'applicazione Microsoft Entra sono ancora supportate e dovrebbero continuare a essere gestite con la sintassi di Microsoft Entra.

Questo articolo fornisce supplementi per Crittografia dischi di Azure per le macchine virtuali Linux con requisiti e prerequisiti aggiuntivi per Crittografia dischi di Azure con Microsoft Entra ID (versione precedente).

Le informazioni contenute in queste sezioni rimangono invariate:

• Macchine virtuali e sistemi operativi supportati
• Requisiti aggiuntivi per le macchine virtuali

Rete e Criteri di gruppo

Per abilitare la funzionalità di Crittografia dischi di Azure usando la sintassi precedente del parametro Microsoft Entra, le macchine virtuali IaaS (Infrastructure as a Service) devono soddisfare i requisiti di configurazione dell'endpoint di rete seguenti:

• Per ottenere un token per la connessione all'insieme di credenziali delle chiavi, è necessario che la macchina virtuale IaaS possa connettersi a un endpoint Microsoft Entra, [login.microsoftonline.com].
• Per scrivere le chiavi di crittografia nell'insieme di credenziali delle chiavi, è necessario che la macchina virtuale IaaS possa connettersi all'endpoint dell'insieme di credenziali delle chiavi.
• La VM IaaS deve potersi connettere a un endpoint di archiviazione di Azure che ospita il repository delle estensioni di Azure e a un account di archiviazione di Azure che ospita i file del disco rigido virtuale.
• Se i criteri di sicurezza limitano l'accesso da macchine virtuali di Azure a Internet, è possibile risolvere l'URI precedente e configurare una regola specifica per consentire la connettività in uscita agli indirizzi IP. Per altre informazioni, vedere Azure Key Vault protetto da firewall.
• In Windows, se TLS 1.0 è disabilitato in modo esplicito e la versione di .NET non viene aggiornata alla versione 4.6 o successiva, la modifica del Registro di sistema seguente consente di Crittografia dischi di Azure di selezionare la versione TLS più recente:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
  
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Criteri di gruppo

• La soluzione Crittografia dischi di Azure usa la protezione con chiave esterna BitLocker per macchine virtuali IaaS Windows. Per le macchine virtuali aggiunte a un dominio, non eseguire il push di criteri di gruppo che applicano protezioni TPM. Per informazioni sui Criteri di gruppo per l'opzione Consenti BitLocker senza un TPM compatibile, vedere Informazioni di riferimento su Criteri di gruppo di BitLocker.

• I criteri di BitLocker nelle macchine virtuali aggiunte a un dominio con criteri di gruppo personalizzati devono includere l'impostazione seguente: Configurare l'archiviazione utente delle informazioni di ripristino di BitLocker -> Consenti chiave di ripristino a 256 bit. Crittografia dischi di Azure ha esito negativo quando le impostazioni personalizzate di Criteri di gruppo per BitLocker non sono compatibili. Nei computer che non hanno l'impostazione dei criteri corretta, applicare il nuovo criterio, forzare il nuovo criterio per l'aggiornamento (gpupdate.exe /force) e quindi riavviarlo se necessario.

Requisiti di archiviazione delle chiavi di crittografia

Crittografia dischi di Azure richiede Azure Key Vault per controllare e gestire chiavi e segreti di crittografia del disco. L'insieme di credenziali delle chiavi e le macchine virtuali devono trovarsi nella stessa area e sottoscrizione di Azure.

Per altre informazioni, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure con l'ID Microsoft Entra (versione precedente).

Passaggi successivi

• Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure con Azure AD (versione precedente)
• Abilitare Crittografia dischi di Azure con l'ID Microsoft Entra in macchine virtuali Linux (versione precedente)
• Script dell'interfaccia della riga di comando dei prerequisiti di Crittografia dischi di Azure
• Script di PowerShell per i prerequisiti di Crittografia dischi di Azure