Azure AD ile Azure Disk Şifrelemesi (önceki sürüm)
Şunlar için geçerlidir: ✔️ Windows VM'leri
yeni Azure Disk Şifrelemesi sürümü, VM disk şifrelemesini etkinleştirmek için bir Microsoft Entra uygulama parametresi sağlama gereksinimini ortadan kaldırır. Yeni sürümle birlikte, şifrelemeyi etkinleştirme adımı sırasında artık Microsoft Entra kimlik bilgilerini sağlamanız gerekmez. Tüm yeni VM'ler, yeni sürüm kullanılarak Microsoft Entra uygulama parametreleri olmadan şifrelenmelidir. Yeni sürümü kullanarak VM disk şifrelemesini etkinleştirme yönergelerini görüntülemek için bkz. Windows VM'leri için Azure Disk Şifrelemesi. Microsoft Entra uygulama parametreleriyle zaten şifrelenmiş vm'ler hala desteklenir ve Microsoft Entra söz dizimi ile korunmaya devam etmelidir.
Bu makalede, Microsoft Entra Id (önceki sürüm) ile Azure Disk Şifrelemesi için ek gereksinimler ve önkoşullar içeren Windows VM'leri için Azure Disk Şifrelemesi eklenmiştir. Desteklenen VM'ler ve işletim sistemleri bölümü aynı kalır.
Ağ ve Grup İlkesi
Eski Microsoft Entra parametre söz dizimini kullanarak Azure Disk Şifrelemesi özelliğini etkinleştirmek için IaaS VM'lerinin aşağıdaki ağ uç noktası yapılandırma gereksinimlerini karşılaması gerekir:
- Anahtar kasanıza bağlanmak üzere bir belirteç almak için IaaS VM'sinin [login.microsoftonline.com] bir Microsoft Entra uç noktasına bağlanabilmesi gerekir.
- Şifreleme anahtarlarını anahtar kasanıza yazmak için IaaS VM'sinin anahtar kasası uç noktasına bağlanabilmesi gerekir.
- IaaS VM'sinin Azure uzantı deposunu barındıran bir Azure depolama uç noktasına ve VHD dosyalarını barındıran bir Azure depolama hesabına bağlanabilmesi gerekir.
- Güvenlik ilkeniz Azure VM'lerinden İnternet'e erişimi kısıtlıyorsa, önceki URI'yi çözümleyebilir ve IP'lere giden bağlantıya izin verecek belirli bir kuralı yapılandırabilirsiniz. Daha fazla bilgi için bkz . Güvenlik duvarının arkasındaki Azure Key Vault.
- Şifrelenecek vm, varsayılan protokol olarak TLS 1.2 kullanacak şekilde yapılandırılmalıdır. TLS 1.0 açıkça devre dışı bırakıldıysa ve .NET sürümü 4.6 veya üzeri bir sürüme güncelleştirilmediyse, aşağıdaki kayıt defteri değişikliği ADE'nin en son TLS sürümünü seçmesini sağlar:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
Grup İlkesi:
Azure Disk Şifrelemesi çözümü, Windows IaaS VM'leri için BitLocker dış anahtar koruyucusunu kullanır. Etki alanına katılmış VM'ler için TPM koruyucularını zorunlu kılan hiçbir grup ilkesi göndermeyin. "Uyumlu bir TPM olmadan BitLocker'a izin ver" grup ilkesi hakkında bilgi için bkz . BitLocker Grup İlkesi Başvurusu.
Özel grup ilkesine sahip etki alanına katılmış sanal makinelerde BitLocker ilkesi şu ayarı içermelidir: BitLocker kurtarma bilgilerinin kullanıcı depolama alanını yapılandırma -> 256 bit kurtarma anahtarına izin ver. BitLocker için özel grup ilkesi ayarları uyumsuz olduğunda Azure Disk Şifrelemesi başarısız olur. Doğru ilke ayarına sahip olmayan makinelerde yeni ilkeyi uygulayın, yeni ilkeyi güncelleştirmeye zorlayın (gpupdate.exe /force) ve yeniden başlatma gerekebilir.
Şifreleme anahtarı depolama gereksinimleri
Azure Disk Şifrelemesi, disk şifreleme anahtarlarını ve gizli dizilerini denetlemek ve yönetmek için bir Azure Key Vault gerektirir. Anahtar kasanız ve VM'leriniz aynı Azure bölgesinde ve aboneliğinde bulunmalıdır.
Ayrıntılar için bkz. Microsoft Entra ID (önceki sürüm) ile Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma.