Azure Disk Encryption para Windows (Microsoft.Azure.Security.AzureDiskEncryption)
Información general
Azure Disk Encryption usa BitLocker para ofrecer cifrado de disco completo en las máquinas virtuales de Azure que ejecutan Windows. Esta solución se integra con Azure Key Vault para administrar los secretos y las claves de cifrado de los discos de la suscripción de Key Vault.
Requisitos previos
Para una lista completa de los requisitos previos, consulte Azure Disk Encryption para máquinas virtuales Windows, en concreto las secciones siguientes:
- Máquinas virtuales y sistemas operativos compatibles
- Requisitos de red
- Requisitos de la directiva de grupo
Esquema de extensión
Hay dos versiones del esquema de extensión para Azure Disk Encryption (ADE):
- v2.2: esquema recomendado más reciente que no usa las propiedades de Microsoft Entra.
- v1.1: esquema anterior que requiere propiedades de Microsoft Entra.
Para seleccionar un esquema de destino, la propiedad typeHandlerVersion debe establecerse en la versión del esquema que desee usar.
Esquema v2.2: sin Microsoft Entra ID (recomendado)
Se recomienda el esquema v2.2 para todas las máquinas virtuales nuevas y no requiere propiedades de Microsoft Entra.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"settings": {
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Esquema v1.1: con Microsoft Entra ID
El esquema 1.1 requiere aadClientID y aadClientSecret o AADClientCertificate, y no se recomienda para las nuevas máquinas virtuales.
Usar aadClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Usar AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Valores de propiedad
Nota: Todos los valores distinguen mayúsculas de minúsculas.
| Nombre | Valor / ejemplo | Tipo de datos |
|---|---|---|
| apiVersion | 2019-07-01 | date |
| publisher | Microsoft.Azure.Security | string |
| type | AzureDiskEncryption | string |
| typeHandlerVersion | 2.2, 1.1 | string |
| (esquema 1.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (esquema 1.1) AADClientSecret | password | string |
| (esquema 1.1) AADClientCertificate | thumbprint | string |
| EncryptionOperation | EnableEncryption | string |
| (opcional: RSA-OAEP predeterminado) KeyEncryptionAlgorithm | 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' | string |
| KeyVaultURL | url | string |
| KeyVaultResourceId | url | string |
| (opcional) KeyEncryptionKeyURL | url | string |
| (opcional) KekVaultResourceId | url | string |
| (opcional) SequenceVersion | UNIQUEIDENTIFIER | string |
| VolumeType | OS, Data, All | string |
Implementación de plantilla
Para ver un ejemplo de una implementación de plantilla basada en la versión 2.2 del esquema, consulte la plantilla de inicio rápido de Azure encrypt-running-windows-vm-without-aad.
Para un ejemplo de una implementación de plantilla basada en un esquema de la versión 1.1, consulte la plantilla de inicio rápido de Azure encrypt-running-windows-vm.
Nota:
Además, si el parámetro VolumeType está establecido en Todos, los discos de datos se cifrarán solo si tienen el formato correcto.
Solución de problemas y asistencia
Solución de problemas
Para solucionar el problema, consulte Guía de solución de problemas de Azure Disk Encryption.
Soporte técnico
Si necesita más ayuda con cualquier aspecto de este artículo, puede ponerse en contacto con los expertos de Azure en los foros de MSDN Azure o Stack Overflow.
Como alternativa, puede registrar un incidente de soporte técnico de Azure. Vaya a Soporte técnico de Azure y seleccione Obtener soporte técnico. Para obtener información sobre el uso del soporte técnico de Azure, lea las Preguntas más frecuentes del soporte técnico de Microsoft Azure.
Pasos siguientes
- Para más información sobre las extensiones, consulte el artículo Características y extensiones de las máquinas virtuales para Windows.
- Para más información sobre Azure Disk Encryption para Windows, consulte Máquinas virtuales Windows.