Usługa Azure Disk Encryption dla systemu Windows (Microsoft.Azure.Security.AzureDiskEncryption)
Omówienie
Usługa Azure Disk Encryption używa funkcji BitLocker do zapewnienia pełnego szyfrowania dysków na maszynach wirtualnych platformy Azure z systemem Windows. To rozwiązanie jest zintegrowane z usługą Azure Key Vault w celu zarządzania kluczami szyfrowania dysków i wpisami tajnymi w ramach subskrypcji magazynu kluczy.
Wymagania wstępne
Aby uzyskać pełną listę wymagań wstępnych, zobacz Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Windows, w szczególności w następujących sekcjach:
- Obsługiwane maszyny wirtualne i systemy operacyjne
- Wymagania dotyczące sieci
- Wymagania dotyczące zasad grupy
Schemat rozszerzenia
Istnieją dwie wersje schematu rozszerzenia dla usługi Azure Disk Encryption (ADE):
- Wersja 2.2 — nowszy zalecany schemat, który nie korzysta z właściwości firmy Microsoft Entra.
- Wersja 1.1 — starszy schemat, który wymaga właściwości firmy Microsoft Entra.
Aby wybrać schemat docelowy, właściwość musi być ustawiona na wersję schematu, typeHandlerVersion której chcesz użyć.
Schemat w wersji 2.2: brak identyfikatora Entra firmy Microsoft (zalecane)
Schemat w wersji 2.2 jest zalecany dla wszystkich nowych maszyn wirtualnych i nie wymaga właściwości firmy Microsoft Entra.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"settings": {
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Schemat w wersji 1.1: z identyfikatorem Entra firmy Microsoft
Schemat 1.1 wymaga aadClientID polecenia lub aadClientSecret AADClientCertificate i nie jest zalecany dla nowych maszyn wirtualnych.
Za pomocą polecenia aadClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Za pomocą polecenia AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Wartości właściwości
Uwaga: w przypadku wszystkich wartości jest rozróżniana wielkość liter.
| Nazwisko | Wartość / przykład | Typ danych |
|---|---|---|
| apiVersion | 2019-07-01 | data |
| wydawca | Microsoft.Azure.Security | string |
| type | AzureDiskEncryption | string |
| typeHandlerVersion | 2.2, 1.1 | string |
| (Schemat 1.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | Identyfikator GUID |
| (Schemat 1.1) AADClientSecret | hasło | string |
| (Schemat 1.1) AADClientCertificate | Odcisk palca | string |
| EncryptionOperation | EnableEncryption | string |
| (opcjonalnie — domyślne RSA-OAEP ) KeyEncryptionAlgorithm | "RSA-OAEP", "RSA-OAEP-256", "RSA1_5" | string |
| KeyVaultURL | Adres URL | string |
| KeyVaultResourceId | Adres URL | string |
| (opcjonalnie) KeyEncryptionKeyURL | Adres URL | string |
| (opcjonalnie) KekVaultResourceId | Adres URL | string |
| (opcjonalnie) SequenceVersion | uniqueidentifier | string |
| VolumeType | System operacyjny, dane, wszystkie | string |
Wdrażanie na podstawie szablonu
Aby zapoznać się z przykładem wdrożenia szablonu na podstawie schematu w wersji 2.2, zobacz Szablon szybkiego startu platformy Azure encrypt-running-windows-vm-without-aad.
Aby zapoznać się z przykładem wdrożenia szablonu na podstawie schematu w wersji 1.1, zobacz Szablon szybkiego startu platformy Azure encrypt-running-windows-vm.
Uwaga
Ponadto jeśli VolumeType parametr jest ustawiony na Wszystkie, dyski danych będą szyfrowane tylko wtedy, gdy zostaną prawidłowo sformatowane.
Rozwiązywanie problemów i pomoc techniczna
Rozwiązywanie problemów
Aby uzyskać informacje na temat rozwiązywania problemów, zobacz Przewodnik rozwiązywania problemów z usługą Azure Disk Encryption.
Pomoc techniczna
Jeśli potrzebujesz więcej pomocy w dowolnym momencie tego artykułu, możesz skontaktować się z ekspertami platformy Azure na forach MSDN Azure i Stack Overflow.
Alternatywnie możesz zgłosić zdarzenie pomoc techniczna platformy Azure. Przejdź do pomoc techniczna platformy Azure i wybierz pozycję Uzyskaj pomoc techniczną. Aby uzyskać informacje na temat korzystania z pomocy technicznej platformy Azure, przeczytaj często zadawane pytania dotyczące pomocy technicznej platformy Microsoft Azure.
Następne kroki
- Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Rozszerzenia i funkcje maszyny wirtualnej dla systemu Windows.
- Aby uzyskać więcej informacji na temat usługi Azure Disk Encryption dla systemu Windows, zobacz Maszyny wirtualne z systemem Windows.