使用 Azure AD 进行 Azure 磁盘加密(以前版本)
适用于:✔️ Windows VM
新版本的 Azure 磁盘加密无需提供 Microsoft Entra 应用程序参数即可启用 VM 磁盘加密。 使用新版本,在执行启用加密步骤时,不再需要提供 Microsoft Entra 凭据。 所有新 VM 都必须使用新版本在没有 Microsoft Entra 应用程序参数的情况下进行加密。 若要查看使用新版本启用 VM 磁盘加密的说明,请参阅适用于 Windows VM 的 Azure 磁盘加密。 已使用 Microsoft Entra 应用程序参数加密的 VM 仍受支持,应继续使用 Microsoft Entra 语法进行维护。
本文通过使用 Microsoft Entra ID 进行 Azure 磁盘加密的其他要求和先决条件(以前版本)补充说明了适用于 Windows VM 的 Azure 磁盘加密。 支持的 VM 和操作系统部分保持不变。
网络和组策略
若要启用使用旧 Microsoft Entra 参数语法的 Azure 磁盘加密功能,IaaS VM 必须符合以下网络终结点配置要求:
- 若要获取用于连接到密钥保管库的令牌,IaaS VM 必须能够连接到 Microsoft Entra 终结点 [login.partner.microsoftonline.cn]。
- IaaS VM 必须能够连接到 Key Vault 终结点,以将加密密钥写入 Key Vault。
- IaaS VM 必须能够连接到托管 Azure 扩展存储库的 Azure 存储终结点和托管 VHD 文件的 Azure 存储帐户。
- 如果安全策略限制从 Azure VM 到 Internet 的访问,可以解析上述 URI,并配置特定的规则以允许与这些 IP 建立出站连接。 有关详细信息,请参阅防火墙后的 Azure Key Vault。
- 要加密的 VM 必须配置为使用 TLS 1.2 作为默认协议。 如果显式禁用了 TLS 1.0 且 .NET 版本尚未更新到 4.6 或更高版本,以下注册表更改将允许 ADE 选择更新的 TLS 版本:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
组策略:
Azure 磁盘加密解决方案对 Windows IaaS VM 使用 BitLocker 外部密钥保护程序。 对于已加入域的 VM,请不要推送会强制执行 TPM 保护程序的任何组策略。 有关“在没有兼容 TPM 的情况下允许 BitLocker”的组策略信息,请参阅 BitLocker 组策略参考。
具有自定义组策略的已加入域的虚拟机上的 BitLocker 策略必须包含以下设置:配置 BitLocker 恢复信息的用户存储 -> 允许 256 位恢复密钥。 如果 BitLocker 的自定义组策略设置不兼容,Azure 磁盘加密将会失败。 在没有正确策略设置的计算机上,应用新策略,强制更新新策略 (gpupdate.exe /force),然后可能需要重启。
加密密钥存储要求
Azure 磁盘加密需要 Azure Key Vault 来控制和管理磁盘加密密钥和机密。 密钥保管库和 VM 必须位于同一 Azure 区域和订阅中。
有关详细信息,请参阅使用 Microsoft Entra ID 为 Azure 磁盘加密创建和配置密钥保管库(以前的版本)。