Azure Disk Encryption pro Windows (Microsoft.Azure.Security.AzureDiskEncryption)

Přehled

Azure Disk Encryption používá nástroj BitLocker k zajištění úplného šifrování disků na virtuálních počítačích Azure s Windows. Toto řešení je integrované se službou Azure Key Vault pro správu šifrovacích klíčů disků a tajných kódů ve vašem předplatném trezoru klíčů.

Požadavky

Úplný seznam požadavků najdete v tématu Azure Disk Encryption pro virtuální počítače s Windows, konkrétně následující části:

• Podporované virtuální počítače a operační systémy
• Požadavky na síť
• Požadavky na zásady skupiny

Schéma rozšíření

Pro Azure Disk Encryption (ADE) existují dvě verze schématu rozšíření:

• v2.2 – Novější doporučené schéma, které nepoužívá vlastnosti Microsoft Entra.
• v1.1 – Starší schéma, které vyžaduje vlastnosti Microsoft Entra.

Chcete-li vybrat cílové schéma, musí být vlastnost nastavena na verzi schématu, typeHandlerVersion kterou chcete použít.

Schéma v2.2: Žádné ID Microsoft Entra (doporučeno)

Schéma verze 2.2 se doporučuje pro všechny nové virtuální počítače a nevyžaduje vlastnosti Microsoft Entra.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryption",
        "typeHandlerVersion": "2.2",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[keyVaultResourceID]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[kekVaultResourceID]",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Schéma v1.1: s ID Microsoft Entra

Schéma 1.1 vyžaduje aadClientID a buď aadClientSecret nebo AADClientCertificate nedoporučuje pro nové virtuální počítače.

Pomocí aadClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Pomocí AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Hodnoty vlastností

Poznámka: U všech hodnot se rozlišují malá a velká písmena.

Název	Hodnota / příklad	Datový typ
apiVersion	2019-07-01	datum
vydavatel	Microsoft.Azure.Security	string
type	AzureDiskEncryption	string
typeHandlerVersion	2.2, 1.1	string
(Schéma 1.1) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(Schéma 1.1) AADClientSecret	Heslo	string
(Schéma 1.1) AADClientCertificate	otisk palce	string
EncryptionOperation	EnableEncryption	string
(volitelné – výchozí RSA-OAEP ) KeyEncryptionAlgorithm	RSA-OAEP, RSA-OAEP-256, RSA1_5	string
KeyVaultURL	url	string
KeyVaultResourceId	url	string
(volitelné) KeyEncryptionKeyURL	url	string
(volitelné) KekVaultResourceId	url	string
(volitelné) SequenceVersion	uniqueidentifier	string
VolumeType	Operační systém, data, vše	string

Nasazení šablon

Příklad nasazení šablony na základě schématu v2.2 najdete v tématu Šablony rychlého startu Azure Encrypt-running-windows-vm-without-aad.

Příklad nasazení šablony na základě schématu verze 1.1 najdete v tématu Azure Quickstart Template encrypt-running-windows-vm.

Poznámka:

VolumeType Pokud je parametr nastaven na Hodnotu Vše, datové disky se zašifrují jenom v případě, že jsou správně formátované.

Řešení potíží a podpora

Odstraňování potíží

Informace o řešení potíží najdete v průvodci odstraňováním potíží pro službu Azure Disk Encryption.

Technická podpora

Pokud potřebujete další pomoc v libovolném bodě tohoto článku, můžete kontaktovat odborníky na Azure na fórech MSDN Azure a Stack Overflow.

Případně můžete podat incident podpora Azure. Přejděte na podpora Azure a vyberte Získat podporu. Informace o používání podpory Azure najdete v nejčastějších dotazech k podpoře Microsoft Azure.

Další kroky

• Další informace o rozšířeních najdete v tématu Rozšíření a funkce virtuálního počítače pro Windows.
• Další informace o službě Azure Disk Encryption pro Windows najdete v tématu Virtuální počítače s Windows.