Crittografia dischi di Azure per Windows (Microsoft.Azure.Security.AzureDiskEncryption)
Panoramica
Crittografia dischi di Azure usa BitLocker per fornire la crittografia completa del disco nelle macchine virtuali di Azure che eseguono Windows. Questa soluzione è integrata con Azure Key Vault per gestire le chiavi di crittografia dei dischi e i segreti nella sottoscrizione dell'insieme di credenziali delle chiavi.
Prerequisiti
Per un elenco completo dei prerequisiti, vedere Crittografia dischi di Azure per le macchine virtuali Windows, in particolare le sezioni seguenti:
Schema dell'estensione
Esistono due versioni dello schema di estensione per Crittografia dischi di Azure (ADE):
- v2.2: schema consigliato più recente che non usa le proprietà di Microsoft Entra.
- v1.1: schema precedente che richiede le proprietà di Microsoft Entra.
Per selezionare uno schema di destinazione, la typeHandlerVersion proprietà deve essere impostata come uguale alla versione dello schema da usare.
Schema v2.2: Nessun ID Microsoft Entra (scelta consigliata)
Lo schema v2.2 è consigliato per tutte le nuove macchine virtuali e non richiede le proprietà di Microsoft Entra.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"settings": {
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Schema v1.1: con Microsoft Entra ID
Lo schema 1.1 richiede aadClientID e o aadClientSecret AADClientCertificate e non è consigliato per le nuove macchine virtuali.
Utilizzo di aadClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Utilizzo di AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Valori delle proprietà
Nota: tutti i valori fanno distinzione tra maiuscole e minuscole.
| Nome | Valore/Esempio | Tipo di dati |
|---|---|---|
| apiVersion | 2019-07-01 | data |
| publisher | Microsoft.Azure.Security | string |
| type | AzureDiskEncryption | string |
| typeHandlerVersion | 2.2, 1.1 | string |
| (schema 1.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (schema 1.1) AADClientSecret | password | string |
| (schema 1.1) AADClientCertificate | thumbprint | string |
| EncryptionOperation | EnableEncryption | string |
| (facoltativo : impostazione predefinita RSA-OAEP ) KeyEncryptionAlgorithm | "RSA-OAEP", "RSA-OAEP-256", "RSA1_5" | string |
| KeyVaultURL | URL. | string |
| KeyVaultResourceId | URL. | string |
| (facoltativo) KeyEncryptionKeyURL | URL. | string |
| (facoltativo) KekVaultResourceId | URL. | string |
| (facoltativo) SequenceVersion | uniqueidentifier | string |
| VolumeType | Sistema operativo, dati, tutti | string |
Distribuzione modelli
Per un esempio di distribuzione di modelli basata sullo schema v2.2, vedere Modello di avvio rapido di Azure encrypt-running-windows-vm-without-aad.
Per un esempio di distribuzione di modelli basata sullo schema v1.1, vedere Modello di avvio rapido di Azure encrypt-running-windows-vm.
Nota
Inoltre, se VolumeType il parametro è impostato su Tutti, i dischi dati verranno crittografati solo se sono formattati correttamente.
Risoluzione dei problemi e supporto
Risoluzione dei problemi
Per la risoluzione di problemi, consultare la guida alla risoluzione dei problemi di Crittografia dischi di Azure.
Supporto tecnico
Per ricevere assistenza in relazione a qualsiasi punto di questo articolo, contattare gli esperti di Azure nei forum MSDN e Stack Overflow relativi ad Azure.
In alternativa, è possibile archiviare un evento imprevisto di supporto tecnico di Azure. Passare a supporto tecnico di Azure e selezionare Ottieni supporto. Per informazioni sull'uso del Supporto tecnico di Azure, leggere le Domande frequenti sul supporto tecnico di Azure.
Passaggi successivi
- Per altre informazioni sulle estensioni, vedere Estensioni e funzionalità della macchina virtuale per Windows.
- Per altre informazioni sui Crittografia dischi di Azure per Windows, vedere Macchine virtuali Windows.