Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ Виртуальные машины Linux ✔️ Гибкие масштабируемые наборы
Новый выпуск Azure Disk Encryption устраняет необходимость предоставления параметра приложения Microsoft Entra для включения шифрования дисков виртуальной машины. В новом выпуске больше не требуется предоставлять учетные данные Microsoft Entra во время включения шага шифрования. Все новые виртуальные машины должны быть зашифрованы без параметров приложения Microsoft Entra с помощью нового выпуска. Инструкции по включению шифрования дисков виртуальных машин с использованием нового выпуска см. в статье Шифрование дисков Azure для виртуальных машин под управлением Linux. Виртуальные машины, которые уже зашифрованы с параметрами приложения Microsoft Entra, по-прежнему поддерживаются и должны продолжать поддерживаться с помощью синтаксиса Microsoft Entra.
В этой статье приводятся дополнения к Шифрованию дисков Azure для виртуальных машин Linux с дополнительными требованиями и предпосылками для Шифрования дисков Azure с помощью идентификатора Microsoft Entra (предыдущий выпуск).
Информация в следующих разделах остается неизменной:
- Поддерживаемые виртуальные машины и операционные системы
- Дополнительные требования к виртуальной машине
Сетевые подключения и групповая политика
Чтобы включить функцию Шифрование дисков Azure с помощью более старого синтаксиса параметра Microsoft Entra, виртуальные машины инфраструктуры как службы (IaaS) должны соответствовать следующим требованиям к конфигурации сетевой конечной точки:
- Чтобы получить маркер для подключения к хранилищу ключей, виртуальная машина IaaS должна иметь возможность подключаться к конечной точке Microsoft Entra [login.microsoftonline.com].
- Для записи ключей шифрования в ваше хранилище ключей виртуальная машина IaaS должна иметь возможность подключиться к конечной точке хранилища ключей.
- Виртуальная машина IaaS должна иметь возможность подключиться к конечной точке службы хранилища Azure, в которой размещен репозиторий расширений Azure, и к учетной записи хранения Azure, в которой размещены VHD-файлы.
- Если ваша политика безопасности ограничивает доступ к интернету с виртуальных машин Azure, вы можете разрешить вышеупомянутый URI и настроить определенное правило, чтобы разрешить исходящие подключения к IP-адресам. Дополнительные сведения см. в статье Доступ к Azure Key Vault из-за брандмауэра.
- Если в Windows явно отключен протокол TLS 1.0 и платформа .NET не обновлялась до версии 4.6 или более поздней, нужно внести в реестр следующее изменение, чтобы Шифрование дисков Azure смогло выбрать более свежую версию TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
Групповая политика
Решение шифрования дисков Azure использует внешний предохранитель ключа BitLocker для виртуальных машин IaaS под управлением Windows. Если виртуальные машины присоединены к домену, не применяйте групповые политики, предписывающие использование защитников TPM. Сведения о параметре групповой политики Разрешить использование BitLocker без совместимого TPM можно найти в справочнике по групповым политикам BitLocker.
Политика Bitlocker на присоединенных к домену виртуальных машинах с настраиваемой групповой политикой должна содержать следующий параметр: Configure user storage of BitLocker recovery information (Настроить сведения о восстановлении BitLocker в пользовательском хранилище данных) -> Разрешить 256-разрядный ключ восстановления. Шифрование дисков Azure завершится ошибкой, если параметры настраиваемой групповой политики для BitLocker несовместимы. На компьютерах без правильно настроенного параметра политики может потребоваться применить новую политику, принудительно обновить ее (gpupdate.exe /force) и перезагрузить компьютер.
Требования к хранилищу ключей шифрования
Службе "Шифрование дисков Azure" требуется, чтобы управление секретами и ключами шифрования дисков выполнялось в Azure Key Vault. Хранилище ключей и виртуальные машины должны находиться в одном регионе и подписке Azure.
Дополнительные сведения см. в статье Создание и настройка хранилища ключей для шифрования дисков Azure с помощью Microsoft Entra ID (предыдущий выпуск).
Дальнейшие действия
- Создание и настройка хранилища ключей для Шифрование дисков Azure с помощью идентификатора Microsoft Entra (предыдущий выпуск)
- Включение шифрования дисков Azure с Microsoft Entra ID на виртуальных машинах Linux, (предыдущий выпуск)
- Скрипт CLI для подготовки необходимых компонентов для службы "Шифрование дисков Azure"
- Скрипт PowerShell для подготовки необходимых компонентов для службы "Шифрование дисков Azure"