Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Azure Disk Encryption voor virtuele machines en virtuele-machineschaalsets wordt op 15 september 2028 buiten gebruik gesteld. Nieuwe klanten moeten versleuteling op host gebruiken voor alle nieuwe VM's. Bestaande klanten moeten van plan zijn om huidige met ADE ingeschakelde VM's te migreren naar versleuteling op de host vóór de buitengebruikstelling om serviceonderbreking te voorkomen. Zie Migreren van Azure Disk Encryption naar versleuteling op de host.
Van toepassing op: ✔️ Flexibele schaalsets voor Linux-VM's ✔️
De nieuwe versie van Azure Disk Encryption elimineert de vereiste voor het instellen van een Microsoft Entra-toepassingsparameter om VM-schijfversleuteling in te schakelen. Met de nieuwe release is het niet meer nodig om Microsoft Entra-referenties op te geven tijdens de stap versleuteling inschakelen. Alle nieuwe VM's moeten worden versleuteld zonder de Microsoft Entra-toepassingsparameters met behulp van de nieuwe release. Zie Azure Disk Encryption voor Linux-VM's voor instructies over het inschakelen van VM-schijfversleuteling met behulp van de nieuwe versie. VM's die al zijn versleuteld met Microsoft Entra-toepassingsparameters, worden nog steeds ondersteund en moeten nog steeds worden onderhouden met de Microsoft Entra-syntaxis.
Dit artikel bevat aanvullingen op Azure Disk Encryption voor Linux-VM's met aanvullende vereisten en vereisten voor Azure Disk Encryption met Microsoft Entra ID (vorige release).
De informatie in deze secties blijft hetzelfde:
Netwerk- en groepsbeleid
Als u de functie Azure Disk Encryption wilt inschakelen met behulp van de oudere syntaxis van de Microsoft Entra-parameter, moet de IaaS-VM's (Infrastructure as a Service) voldoen aan de volgende configuratievereisten voor netwerkeindpunten:
- Als u een token wilt ophalen om verbinding te maken met uw sleutelkluis, moet de IaaS-VM verbinding kunnen maken met een Microsoft Entra-eindpunt, [login.microsoftonline.com].
- Als u de versleutelingssleutels naar uw sleutelkluis wilt schrijven, moet de IaaS-VM verbinding kunnen maken met het eindpunt van de sleutelkluis.
- De IaaS-VM moet verbinding kunnen maken met een Azure-opslageindpunt dat als host fungeert voor de Azure-extensieopslagplaats en een Azure-opslagaccount dat als host fungeert voor de VHD-bestanden.
- Als uw beveiligingsbeleid de toegang van Azure-VM's tot internet beperkt, kunt u de voorgaande URI oplossen en een specifieke regel configureren om uitgaande connectiviteit met de IP-adressen toe te staan. Zie Azure Key Vault achter een firewall voor meer informatie.
- Als TLS 1.0 in Windows expliciet is uitgeschakeld en de .NET-versie niet wordt bijgewerkt naar 4.6 of hoger, schakelt de volgende registerwijziging Azure Disk Encryption in om de recentere TLS-versie te selecteren:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
Groepsbeleid
De Azure Disk Encryption-oplossing maakt gebruik van de externe BitLocker-sleutelbeveiliging voor Windows IaaS-VM's. Voor vm's die lid zijn van een domein, pusht u geen groepsbeleid dat TPM-beveiliging afdwingt. Zie de BitLocker-groepsbeleidreferentie voor informatie over het groepsbeleid voor de optie Toestaan BitLocker zonder een compatibele TPM.
BitLocker-beleid op virtuele machines die lid zijn van een domein met een aangepast groepsbeleid moet de volgende instelling bevatten: Gebruikersopslag van BitLocker-herstelgegevens configureren -> 256-bits herstelsleutel toestaan. Azure Disk Encryption mislukt wanneer aangepaste groepsbeleidsinstellingen voor BitLocker niet compatibel zijn. Pas het nieuwe beleid toe op computers die niet over de juiste beleidsinstelling beschikken, dwing het nieuwe beleid af om bij te werken (gpupdate.exe /force) en start het opnieuw als dit vereist is.
Opslagvereisten voor versleutelingssleutels
Voor Azure Disk Encryption is Azure Key Vault vereist om schijfversleutelingssleutels en -geheimen te beheren. Uw sleutelkluis en VM's moeten zich in dezelfde Azure-regio en hetzelfde abonnement bevinden.
Zie Een sleutelkluis voor Azure Disk Encryption maken en configureren met Microsoft Entra ID (vorige release) voor meer informatie.
Volgende stappen
- Een sleutelkluis maken en configureren voor Azure Disk Encryption met Microsoft Entra-id (vorige release)
- Azure Disk Encryption inschakelen met Microsoft Entra-id op Linux-VM's (vorige release)
- CLI-script met vereisten voor Azure Disk Encryption
- PowerShell-script met vereisten voor Azure Disk Encryption