你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Windows VM 的 Azure 磁盘加密
适用于:✔️ Windows VM ✔️ 灵活规模集
Azure 磁盘加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 它使用 Windows 的 BitLocker 功能为 Azure 虚拟机 (VM) 的操作系统和数据磁盘提供卷加密,并与 Azure 密钥保管库集成,以帮助你控制和管理磁盘加密密钥和机密。
Azure 磁盘加密可在区域内复原,与虚拟机的方式相同。 有关详细信息,请参阅支持可用性区域的 Azure 服务。
如果使用 Microsoft Defender for Cloud,当 VM 未加密时,你会收到警报。 这些警报显示为“高严重性”,建议加密这些 VM。
警告
- 如果之前是结合使用 Azure 磁盘加密和 Microsoft Entra ID 来加密 VM,必须继续使用这种方式来加密 VM。 有关详细信息,请参阅结合使用 Azure 磁盘加密和 Microsoft Entra ID(以前的版本)。
- 某些建议可能会导致数据、网络或计算资源使用量增加,从而产生额外的许可或订阅成本。 必须具有有效的活动 Azure 订阅,才能在 Azure 的受支持区域中创建资源。
- 请勿使用 BitLocker 手动解密通过 Azure 磁盘加密进行加密的 VM 或磁盘。
通过使用 Azure CLI 创建和加密 Windows VM 快速入门或使用 Azure PowerShell 创建和加密 Windows VM 快速入门,只需几分钟即可了解适用于 Windows 的 Azure 磁盘加密的基本知识。
支持的 VM 和操作系统
支持的 VM
Windows VM 的大小有多种。 Azure 磁盘加密在第 1 代和第 2 代 VM 上受支持。 Azure 磁盘加密还可用于使用高级存储的 VM。
Azure 磁盘加密在 A 系列基本 VM 或内存小于 2 GB 的虚拟机上不可用。 有关更多特例,请参阅 Azure 磁盘加密:限制。
受支持的操作系统
支持 BitLocker 且配置已满足 BitLocker 要求的所有 Windows 版本。 有关详细信息,请参阅《BitLocker 概述》。
注意
Windows Server 2022 和 Windows 11 不支持 RSA 2048 位密钥。 有关详细信息,请参阅常见问题解答:应使用哪种密钥加密密钥大小?
Windows Server 2012 R2 Core 和 Windows Server 2016 Core 要求在 VM 安装 bdehdcfg 组件以支持加密。
Windows Server 2008 R2 要求安装 .NET Framework 4.5 以支持加密;请从 Windows 更新安装此组件,并安装适用于 Windows Server 2008 R2 基于 x64 的系统的 Microsoft .NET Framework 4.5.2 可选更新 (KB2901983)。
网络要求
若要启用 Azure 磁盘加密,VM 必须符合以下网络终结点配置要求:
- Windows VM 必须能够连接到托管 Azure 扩展存储库的 Azure 存储终结点和托管 VHD 文件的 Azure 存储帐户。
- 如果安全策略限制从 Azure VM 到 Internet 的访问,可以解析上述 URI,并配置特定的规则以允许与这些 IP 建立出站连接。 有关详细信息,请参阅防火墙后的 Azure Key Vault。
组策略要求
Azure 磁盘加密对 Windows VM 使用 BitLocker 外部密钥保护程序。 对于已加入域的 VM,请不要推送会强制执行 TPM 保护程序的任何组策略。 有关“在没有兼容 TPM 的情况下允许 BitLocker”的组策略信息,请参阅 BitLocker 组策略参考。
具有自定义组策略的已加入域的虚拟机上的 BitLocker 策略必须包含以下设置:配置 BitLocker 恢复信息的用户存储 -> 允许 256 位恢复密钥。 如果 BitLocker 的自定义组策略设置不兼容,Azure 磁盘加密将会失败。 在没有正确策略设置的计算机上,应用新策略并强制更新新策略 (gpupdate.exe /force)。 可能需要重启。
Microsoft BitLocker Administration and Monitoring (MBAM) 组策略功能与 Azure 磁盘加密不兼容。
警告
Azure 磁盘加密不存储恢复密钥。 如果启用了交互式登录:计算机帐户锁定阈值安全设置,则只能通过串行控制台提供恢复密钥来恢复计算机。 有关确保启用适当恢复策略的说明,请参阅 Bitlocker 恢复指南计划。
如果域级组策略阻止了 BitLocker 使用的 AES-CBC 算法,Azure 磁盘加密将会失败。
加密密钥存储要求
Azure 磁盘加密需要 Azure Key Vault 来控制和管理磁盘加密密钥和机密。 密钥保管库和 VM 必须位于同一 Azure 区域和订阅中。
有关详细信息,请参阅创建和配置用于 Azure 磁盘加密的密钥保管库。
术语
下表定义了 Azure 磁盘加密文档中使用的一些常用术语:
术语 | 定义 |
---|---|
Azure Key Vault | Key Vault 是基于联邦信息处理标准 (FIPS) 验证的硬件安全模块。 这些标准有助于保护加密密钥和敏感机密。 有关详细信息,请参阅 Azure 密钥保管库文档和创建和配置用于 Azure 磁盘加密的密钥保管库。 |
Azure CLI | Azure CLI 经过了优化,可从命令行管理 Azure 资源。 |
BitLocker | BitLocker 是一种行业认可的 Windows 卷加密技术,用于在 Windows VM 上启用磁盘加密。 |
密钥加密密钥 (KEK) | 可用于保护或包装机密的非对称密钥 (RSA 2048)。 可提供硬件安全模块 (HSM) 保护的密钥或软件保护的密钥。 有关详细信息,请参阅 Azure 密钥保管库文档和创建和配置用于 Azure 磁盘加密的密钥保管库。 |
PowerShell cmdlet | 有关详细信息,请参阅 Azure PowerShell cmdlet。 |