Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
O Azure Disk Encryption está programado para ser desativado em 15 de setembro de 2028. Até essa data, você pode continuar a usar o Azure Disk Encryption sem interrupções. Em 15 de setembro de 2028, as cargas de trabalho habilitadas para ADE continuarão a ser executadas, mas os discos criptografados não serão desbloqueados após reinicializações da VM, resultando em interrupção do serviço.
Utilize criptografia no host para novas VMs. Todas as VMs habilitadas para ADE (incluindo backups) devem migrar para a criptografia no host antes da data de desativação para evitar a interrupção do serviço. Consulte Migrar do Azure Disk Encryption para criptografia no host para obter detalhes.
Aplica-se a: ✔️ VMs do Windows
A nova versão do Azure Disk Encryption elimina a exigência de fornecer um parâmetro de aplicativo Microsoft Entra para habilitar a criptografia de disco de VM. Com a nova versão, não é mais exigido que você forneça as credenciais do Microsoft Entra durante a etapa de habilitação da criptografia. Todas as novas VMs devem ser criptografadas sem os parâmetros do aplicativo Microsoft Entra utilizando a nova versão. Para ver instruções de como habilitar a criptografia de disco da VM usando a nova versão, confira Azure Disk Encryption para VMs do Windows. As VMs que já estavam criptografadas com os parâmetros do aplicativo Microsoft Entra ainda têm suporte e devem continuar a ser mantidas com a sintaxe do Microsoft Entra.
Este artigo complementa Azure Disk Encryption para VMs do Windows com requisitos e pré-requisitos adicionais para Azure Disk Encryption com o Microsoft Entra ID (versão anterior). A seção VMs e sistemas operacionais com suporte permanece a mesma.
Sistema de rede e a diretiva de grupo
Para habilitar o recurso de Azure Disk Encryption usando a sintaxe de parâmetro mais antiga do Microsoft Entra, as VMs IaaS precisam atender aos seguintes requisitos de configuração do ponto de extremidade da rede:
- Para obter um token para se conectar ao seu cofre de chaves, a VM IaaS deve poder se conectar a um ponto de extremidade do Microsoft Entra, [login.microsoftonline.com].
- Para gravar as chaves de criptografia no cofre de chaves, a VM IaaS deve ser capaz de se conectar ao ponto de extremidade do cofre de chaves.
- A VM IaaS deve ser capaz de se conectar a um ponto de extremidade do armazenamento do Azure que hospeda o repositório de extensão do Azure e uma conta de armazenamento do Azure que hospeda os arquivos VHD.
- Se a política de segurança limita o acesso de VMs do Azure à Internet, você pode resolver o URI anterior e configurar uma regra específica para permitir a conectividade de saída para os IPs. Para obter mais informações, consulte Azure Key Vault por trás de um firewall.
- A VM a ser criptografada deverá ser configurada para usar o TLS 1.2 como o protocolo padrão. Se o TLS 1.0 foi desabilitado explicitamente e a versão do .NET não foi atualizada para 4.6 ou superior, a seguinte alteração do registro permitirá que o ADE selecione a versão mais recente do TLS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001`
Política de grupo:
A solução de Azure Disk Encryption usa o protetor de chave externa BitLocker para VMs IaaS do Windows. Para VMs ingressado no domínio, não envie por push todas as políticas de grupo que imponham protetores TPM. Para obter informações sobre a política de grupo "Permitir BitLocker sem um TPM compatível", confira Referência de política de grupo do BitLocker.
Políticas do BitLocker em máquinas virtuais conectadas ao domínio com uma política de grupo personalizado devem incluir a seguinte configuração: Configurar o armazenamento do usuário das informações de recuperação do BitLocker -> Permitir chave de recuperação de 256 bits. O Azure Disk Encryption falha quando as configurações da política de grupo personalizada para o BitLocker são incompatíveis. Em computadores que não tinham a configuração de política correta, aplique a nova política, force a atualização da nova política (gpupdate.exe /force) e, em seguida, pode ser necessário reiniciar.
Requisitos de armazenamento de chave de criptografia
O Azure Disk Encryption requer um Azure Key Vault para ajudar você a controlar e gerenciar os segredos e chaves de criptografia de disco. Seu cofre de chaves e as VMs devem residir na mesma região e assinatura do Azure.
Para obter detalhes, confiraCriação e configuração de um cofre de chaves para Azure Disk Encryption com o Microsoft Entra ID (versão anterior).
Próximas etapas
- Criação e configuração de um cofre de chaves para o Azure Disk Encryption com o Microsoft Entra ID (versão anterior)
- Habilitar o Azure Disk Encryption com o Microsoft Entra ID para VMs do Windows (versão anterior)
- Script da CLI dos pré-requisitos do Azure Disk Encryption
- Script do PowerShell dos pré-requisitos do Azure Disk Encryption