Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
Azure Disk Encryption est prévu pour la mise hors service le 15 septembre 2028. Jusqu’à cette date, vous pouvez continuer à utiliser Azure Disk Encryption sans interruption. Le 15 septembre 2028, les charges de travail compatibles avec ADE continueront d’être exécutées, mais les disques chiffrés ne pourront pas être déverrouillés après le redémarrage de la machine virtuelle, ce qui entraîne une interruption du service.
Utilisez le chiffrement sur l’hôte pour les nouvelles machines virtuelles. Toutes les machines virtuelles compatibles ADE (y compris les sauvegardes) doivent migrer vers le chiffrement à l’hôte avant la date de mise hors service pour éviter toute interruption de service. Pour plus d’informations, consultez Migrer d’Azure Disk Encryption vers le chiffrement sur l’hôte .
S’applique à : ✔️ Machine virtuelles Windows
La nouvelle version d’Azure Disk Encryption vous évite de fournir un paramètre d’application Microsoft Entra pour activer le chiffrement de disque de machine virtuelle. Avec la nouvelle version, vous n’êtes plus obligé de fournir les informations d’identification Microsoft Entra lors de l’étape d’activation du chiffrement. Avec la nouvelle version, toutes les nouvelles machines virtuelles doivent être chiffrées sans les paramètres d’application Microsoft Entra. Pour consulter les instructions d’activation du chiffrement de disque des machines virtuelles avec la nouvelle version, consultez l’article Azure Disk Encryption pour les machines virtuelles Windows. Les machines virtuelles déjà chiffrées avec les paramètres d’application Microsoft Entra, toujours prises en charge, doivent être gérées avec la syntaxe Microsoft Entra.
Cet article complète l’article Azure Disk Encryption pour les machines virtuelles Windows. Il fournit des exigences et des prérequis supplémentaires pour Azure Disk Encryption avec Microsoft Entra ID (version précédente). La section Machines virtuelles et systèmes d’exploitation pris en charge reste inchangée.
Réseau et stratégie de groupe
Pour l’activation de la fonctionnalité Azure Disk Encryption utilisant l’ancienne syntaxe des paramètres Microsoft Entra, les machines virtuelles IaaS doivent répondre aux exigences de configuration de point de terminaison de réseau suivantes :
- Pour obtenir un jeton afin de se connecter à votre coffre de clés, la machine virtuelle IaaS doit être en mesure de se connecter à un point de terminaison Microsoft Entra, [login.microsoftonline.com].
- Pour écrire les clés de chiffrement dans votre coffre de clés, la machine virtuelle IaaS doit être en mesure de se connecter au point de terminaison Key Vault.
- La machine virtuelle IaaS doit être en mesure de se connecter au point de terminaison de stockage Azure qui héberge le référentiel d’extensions Azure et au compte de stockage Azure qui héberge les fichiers de disque dur virtuel.
- Si votre stratégie de sécurité limite l’accès à Internet à partir des machines virtuelles Azure, vous pouvez résoudre l’URI ci-dessus et configurer une règle spécifique pour autoriser les connexions sortantes vers les adresses IP. Pour plus d’informations, consultez l’article Azure Key Vault derrière un pare-feu.
- La machine virtuelle à chiffrer doit être configurée pour utiliser TLS 1.2 comme protocole par défaut. Si le protocole TLS 1.0 a été explicitement désactivé et que la version .NET n’a pas été mise à jour vers la version 4.6 ou une version supérieure, la modification suivante du Registre active ADE pour sélectionner la version la plus récente du protocole TLS :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
Stratégie de groupe :
La solution Azure Disk Encryption utilise le protecteur de clé externe BitLocker pour les machines virtuelles IaaS Windows. Pour les machines virtuelles jointes à un domaine, n’envoyez (push) pas de stratégies de groupe qui appliquent des protecteurs de Module de plateforme sécurisée (TPM). Pour en savoir plus sur la stratégie de groupe pour « Autoriser BitLocker sans module de plateforme sécurisée compatible », consultez la rubrique BitLocker Group Policy Reference (Référence de stratégie de groupe BitLocker).
La stratégie Bitlocker sur les machines virtuelles jointes à un domaine avec une stratégie de groupe personnalisée doit inclure le paramètre suivant : Configurer le stockage par les utilisateurs des informations de récupération BitLocker -> Autoriser une clé de récupération de 256 bits. En cas d'incompatibilité des paramètres de la stratégie de groupe personnalisée de BitLocker, Azure Disk Encryption échouera. Sur les machines dont le paramètre de stratégie était incorrect, il peut être nécessaire d’appliquer la nouvelle stratégie, de forcer la mise à jour de cette dernière (gpupdate.exe /force), puis de procéder à un redémarrage.
Exigences liées au stockage des clés de chiffrement
Azure Disk Encryption exige Azure Key Vault pour contrôler et gérer les clés et les secrets de chiffrement de disque. Votre coffre de clés et vos machines virtuelles doivent se trouver dans la même région et le même abonnement Azure.
Pour plus d’informations, consultez Création et configuration d’un coffre de clés pour Azure Disk Encryption avec Microsoft Entra ID (version précédente).
Étapes suivantes
- Création et configuration d’un coffre de clés pour Azure Disk Encryption avec Microsoft Entra ID (version précédente)
- Activer Azure Disk Encryption avec Microsoft Entra ID sur des machines virtuelles Windows (version précédente)
- Script d’interface CLI des prérequis Azure Disk Encryption
- Script PowerShell des prérequis Azure Disk Encryption