Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Azure Disk Encryption está programado para su retirada el 15 de septiembre de 2028. Hasta esa fecha, puede seguir usando Azure Disk Encryption sin interrupciones. El 15 de septiembre de 2028, las cargas de trabajo habilitadas para ADE seguirán ejecutándose, pero los discos cifrados no se desbloquearán después de reiniciar la máquina virtual, lo que provocará una interrupción del servicio.
Utilice el cifrado en el host para nuevas máquinas virtuales. Todas las máquinas virtuales habilitadas para ADE (incluidas las copias de seguridad) deben migrar al cifrado en el host antes de la fecha de retirada para evitar interrupciones del servicio. Consulte Migre desde Azure Disk Encryption al cifrado en el host para obtener más información.
Se aplica a: ✔️ Máquinas virtuales Windows
La nueva versión de Azure Disk Encryption elimina la necesidad de proporcionar un parámetro de aplicación de Microsoft Entra para habilitar el cifrado de disco de máquina virtual. Con la nueva versión, ya no hace falta especificar las credenciales de Microsoft Entra en el paso de habilitación del cifrado. Con esta nueva versión, todas las máquinas virtuales nuevas deben cifrarse sin parámetros de aplicación de Microsoft Entra. Para conocer las instrucciones necesarias para habilitar el cifrado de disco de máquina virtual mediante la nueva versión, consulte Azure Disk Encryption para máquinas virtuales Windows. Las máquinas virtuales que ya se habían cifrado con parámetros de la aplicación de Microsoft Entra siguen siendo compatibles y deben continuar manteniéndose con la sintaxis de Microsoft Entra.
Este artículo complementa Azure Disk Encryption para máquinas virtuales Windows con requisitos adicionales y previos para Azure Disk Encryption con Microsoft Entra ID (versión anterior). La sección Máquinas virtuales y sistemas operativos compatibles no cambia.
Redes y directiva de grupo
Para habilitar la característica Azure Disk Encryption con la sintaxis de parámetro de Microsoft Entra anterior, las máquinas virtuales IaaS deben cumplir los siguientes requisitos de configuración de puntos de conexión de red:
- Para obtener un token para conectarse al almacén de claves, la máquina virtual de IaaS debe poder conectarse a un punto de conexión de Microsoft Entra, [login.microsoftonline.com].
- Para escribir las claves de cifrado en el almacén de claves, la máquina virtual IaaS debe poder conectarse al punto de conexión del almacén de claves.
- La máquina virtual IaaS debe poder conectarse al punto de conexión de Azure Storage que hospeda el repositorio de extensiones de Azure y la cuenta de Azure Storage que hospeda los archivos VHD.
- Si su directiva de seguridad limita el acceso desde máquinas virtuales de Azure a Internet, puede resolver el URI anterior y configurar una regla concreta para permitir la conectividad de salida para las direcciones IP. Para más información, consulte Azure Key Vault detrás de un firewall.
- La máquina virtual que se va a cifrar debe estar configurada para usar TLS 1.2 como el protocolo predeterminado. Si TLS 1.0 se deshabilitó explícitamente y la versión de .NET no se ha actualizado a 4.6 o posterior, el siguiente cambio en el registro habilitará ADE para seleccionar la versión más reciente de TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
Directiva de grupo:
La solución Azure Disk Encryption usa el protector de claves externas de BitLocker para máquinas virtuales IaaS con Windows. Para las máquinas virtuales que forman parte de un dominio, no implemente ninguna directiva de grupo que exija protectores de TPM. Para obtener información acerca de la directiva de grupo para "Permitir BitLocker sin un TPM compatible", consulte la Referencia de la directiva de grupo de BitLocker.
La directiva de BitLocker en las máquinas virtuales unidas a un dominio con una directiva de grupo personalizada debe incluir la siguiente configuración: Configure user storage of bitlocker recovery information -> Allow 256-bit recovery key. (Configurar el almacenamiento de usuario de la información de recuperación de BitLocker -> Permitir clave de recuperación de 256 bits). Azure Disk Encryption presentará un error cuando la configuración de la directiva de grupo personalizada para BitLocker sea incompatible. En máquinas que no tengan la configuración de directiva correcta, puede que sea necesario aplicar la nueva directiva, forzar la nueva directiva a actualizarse (gpupdate.exe /force) y luego reiniciar.
Requisitos de almacenamiento de la clave de cifrado
Azure Disk Encryption requiere Azure Key Vault para controlar y administrar las claves y los secretos de cifrado de discos. El almacén de claves y las máquinas virtuales deben residir en la misma región y suscripción de Azure.
Para más información, consulteCreación y configuración de un almacén de claves para Azure Disk Encryption con Microsoft Entra ID (versión anterior).
Pasos siguientes
- Creación y configuración de un almacén de claves para Azure Disk Encryption con Microsoft Entra ID (versión anterior)
- Habilitación de Azure Disk Encryption con Microsoft Entra ID en máquinas virtuales Windows (versión anterior)
- Script de la CLI de requisitos previos de Azure Disk Encryption
- Requisitos previos de Azure Disk Encryption de script de PowerShell