Шифрование дисков Azure с Azure AD (предыдущий выпуск)

Область применения: ✔️ Виртуальные машины Windows

Новый выпуск Шифрование дисков Azure устраняет требование для предоставления параметра приложения Microsoft Entra для включения шифрования дисков виртуальной машины. В новом выпуске вы больше не обязаны предоставлять учетные данные Microsoft Entra во время включения шифрования. Все новые виртуальные машины должны быть зашифрованы без параметров приложения Microsoft Entra с помощью нового выпуска. Инструкции по включению шифрования дисков виртуальных машин при использовании нового выпуска см. в статье Включение шифрования дисков Azure для виртуальных машин IaaS под управлением Windows. Виртуальные машины, которые уже зашифрованы с параметрами приложения Microsoft Entra, по-прежнему поддерживаются и должны продолжать поддерживаться с помощью синтаксиса Microsoft Entra.

Эта статья дополняет Шифрование дисков Azure для виртуальных машин Windows с дополнительными требованиями и предварительными требованиями для Шифрование дисков Azure с идентификатором Microsoft Entra (предыдущий выпуск). Раздел Поддерживаемые виртуальные машины и операционные системы остается без изменений.

Сетевые подключения и групповая политика

Чтобы включить функцию Шифрование дисков Azure с помощью более старого синтаксиса параметра Microsoft Entra, виртуальные машины IaaS должны соответствовать следующим требованиям к конфигурации конечной точки сети:

• Чтобы получить маркер для подключения к хранилищу ключей, виртуальная машина IaaS должна иметь возможность подключаться к конечной точке Microsoft Entra [login.microsoftonline.com].
• Для записи ключей шифрования в ваше хранилище ключей виртуальная машина IaaS должна иметь возможность подключиться к конечной точке хранилища ключей.
• Виртуальная машина IaaS должна иметь возможность подключиться к конечной точке службы хранилища Azure, в которой размещен репозиторий расширений Azure, и к учетной записи хранения Azure, в которой размещены VHD-файлы.
• Если политика безопасности ограничивает доступ из виртуальных машин Azure к Интернету, можно разрешить предыдущий URI и настроить определенное правило, чтобы разрешить исходящее подключение к IP-адресам. Дополнительные сведения см. в статье Доступ к Azure Key Vault из-за брандмауэра.
• Виртуальная машина для шифрования должна быть настроена на использование TLS 1.2 в качестве протокола по умолчанию. Если протокол TLS 1.0 был явно отключен и версия .NET не была обновлена до версии 4.6 или выше, то следующее изменение реестра позволит ADE выбрать более последнюю версию TLS:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001` 

Групповая политика:

• Решение шифрования дисков Azure использует внешний предохранитель ключа BitLocker для виртуальных машин IaaS под управлением Windows. Для виртуальных машин, присоединенных к домену, не применяйте групповые политики, которые применяют средства защиты доверенного платформенного модуля. Сведения о групповой политике "Разрешить использование BitLocker без совместимого TPM" см. в справке по групповым политикам BitLocker.

• Политика BitLocker на присоединенных к домену виртуальных машинах с настраиваемой групповой политикой должна включать следующий параметр: Configure user storage of BitLocker recovery information (Настроить сведения о восстановлении BitLocker в пользовательском хранилище данных) > >Allow 256-bit recovery key (Разрешить 256-разрядный ключ восстановления). Шифрование дисков Azure завершится ошибкой, если параметры настраиваемой групповой политики для BitLocker несовместимы. На компьютерах, на которых не установлен правильный параметр политики, примените новую политику, принудительно обновите новую политику (gpupdate.exe /force), после чего может потребоваться перезапуск.

Требования к хранилищу ключей шифрования

Службе шифрования дисков Azure необходимо Azure Key Vault, чтобы управлять секретами и ключами шифрования дисков и контролировать их. Хранилище ключей и виртуальные машины должны находиться в одном регионе и подписке Azure.

Дополнительные сведения см. в статье о создании и настройке хранилища ключей для Шифрование дисков Azure с идентификатором Microsoft Entra (предыдущий выпуск).

Следующие шаги

• Создание и настройка хранилища ключей для Шифрование дисков Azure с помощью идентификатора Microsoft Entra (предыдущий выпуск)
• Включение Шифрование дисков Azure с идентификатором Microsoft Entra на виртуальных машинах Windows (предыдущий выпуск)
• Скрипт CLI для подготовки необходимых компонентов для службы "Шифрование дисков Azure"
• Скрипт PowerShell для подготовки необходимых компонентов для службы "Шифрование дисков Azure"