次の方法で共有

Azure Local バージョン 23H2 で BitLocker 暗号化を管理する

  • [アーティクル]

適用対象: Azure Local バージョン 23H2

この記事では、BitLocker 暗号化を表示して有効にし、Azure ローカル インスタンスで BitLocker 回復キーを取得する方法について説明します。

前提条件

開始する前に、Azure にデプロイ、登録、接続されている Azure Local バージョン 23H2 インスタンスにアクセスできることを確認してください。

Azure portal を使用して BitLocker 設定を表示する

Azure portal で BitLocker 設定を表示するには、MCSB イニシアチブが適用されていることを確認します。 詳細については、「 Apply Microsoft クラウド セキュリティ ベンチマーク イニシアチブ」を参照してください。

BitLocker には、OS ボリュームの暗号化とデータ ボリュームの暗号化の 2 種類の保護が用意されています。 BitLocker の設定は、Azure portal でのみ表示できます。 設定を管理するには、「 PowerShell を使用した BitLocker 設定の管理を参照してください。

Azure portal のボリューム暗号化の [データ保護] ページを示すスクリーンショット。

PowerShell を使用して BitLocker 設定を管理する

Azure ローカル インスタンスでボリューム暗号化設定を表示、有効化、無効化できます。

PowerShell コマンドレットのプロパティ

次のコマンドレットプロパティは、BitLocker モジュールを使用したボリューム暗号化用です: AzureStackBitLockerAgent

  •   Get-ASBitLocker -<Local | PerNode>

    Local場所とPerNodeコマンドレットを実行するスコープを定義します。

    • ローカル - 通常のリモート PowerShell セッションで実行でき、ローカル ノードの BitLocker ボリュームの詳細が提供されます。
    • PerNode - CredSSP (リモート PowerShell を使用する場合) またはリモート デスクトップ セッション (RDP) が必要です。 ノードごとの BitLocker ボリュームの詳細を提供します。
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

BitLocker を使用したボリューム暗号化の暗号化設定を表示する

暗号化設定を表示するには、次の手順に従います。

  1. Azure ローカル コンピューターに接続します。

  2. ローカル管理者の資格情報を使用して、次の PowerShell コマンドレットを実行します。

    Get-ASBitLocker

BitLocker を使用したボリューム暗号化の有効化、無効化

BitLocker でボリューム暗号化を有効にするには、次の手順に従います。

  1. Azure ローカル コンピューターに接続します。

  2. ローカル管理者の資格情報を使用して、次の PowerShell コマンドレットを実行します。

    重要

    • ボリュームの種類 BootVolume で BitLocker によるボリューム暗号化を有効にするには、TPM 2.0 が必要です。

    • ボリュームの種類 ClusterSharedVolume (CSV) で BitLocker によるボリューム暗号化を有効にすると、ボリュームはリダイレクト モードになり、ワークロード VM は短時間一時停止されます。 この操作は中断されます。計画を立てる必要があります。 詳細については、「 Windows Server 2012 で BitLocker で暗号化されたクラスター化ディスクを構成する方法を参照してください。

    Enable-ASBitLocker

BitLocker によるボリューム暗号化を無効にするには、次の手順に従います。

  1. Azure ローカル コンピューターに接続します。

  2. ローカル管理者の資格情報を使用して、次の PowerShell コマンドレットを実行します。

    Disable-ASBitLocker

BitLocker 回復キーを取得する

Note

BitLocker キーは、ローカル Active Directory からいつでも取得できます。 クラスターがダウンしていて、キーがない場合は、クラスター上の暗号化されたデータにアクセスできない可能性があります。 BitLocker 回復キーを保存するには、Azure Key Vault などのセキュリティで保護された外部の場所にエクスポートして格納することをお勧めします。

クラスターの回復キーをエクスポートするには、次の手順に従います。

  1. ローカル管理者として Azure ローカル インスタンスに接続します。 ローカル コンソール セッション、ローカル リモート デスクトップ プロトコル (RDP) セッション、または CredSSP 認証を使用したリモート PowerShell セッションで、次のコマンドを実行します。

  2. 回復キー情報を取得するには、PowerShell で次のコマンドを実行します。

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

    出力例を次に示します。

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

 ComputerName    PasswordId    RecoveryKey
 -------         ----------    -----------
 ASB88RR1OU19    {Password1}   Key1
 ASB88RR1OU20    {Password2}   Key2
 ASB88RR1OU21    {Password3}   Key3
 ASB88RR1OU22    {Password4}   Key4

次のステップ