編輯

共用方式為


適用於 Windows 虛擬機器的 Azure 磁碟加密的常見問題集

本文提供 Windows VM 適用的 Microsoft Azure 磁碟加密常見問題 (FAQ) 的解答。 如需此服務的詳細資訊,請參閱 Azure 磁碟加密概觀

什麼是適用於 Windows VM 的 Azure 磁碟加密?

適用於 Windows VM 的 Azure 磁碟加密會使用 Windows 的 BitLocker 功能,提供作業系統磁碟和資料磁碟的完整磁碟加密。 此外,當 VolumeType 參數為 All 時,也會提供暫存磁碟的加密。 內容會以加密形式從 VM 流向儲存體後端。 據此,其能透過客戶管理的金鑰提供端對端加密。

請參閱支援的 VM 與作業系統

Azure 磁碟加密會在那裡正式運作 (GA)?

Azure 磁碟加密會在所有 Azure 公用區域正式運作。

Azure 磁碟加密有哪些使用者體驗?

Azure 磁碟加密 GA 支援 Azure Resource Manager 範本、Azure PowerShell 和 Azure CLI。 不同的使用者體驗可為您賦予彈性。 您會有三個不同選項可啟用 VM 的磁碟加密。 如需 Azure 磁碟加密中可用之使用者體驗和逐步指引的詳細資訊,請參閱適用於 Windows 的 Azure 磁碟加密案例

Azure 磁碟加密如何收費?

使用 Azure 磁碟加密對 VM 磁碟進行加密並不需付費,但如果使用 Azure Key Vault 則需付費。 如需 Azure Key Vault 成本的詳細資訊,請參閱 Key Vault 價格頁面。

如何開始使用 Azure 磁碟加密?

若要開始使用,請參閱 Azure 磁碟加密概觀

哪些 VM 大小和作業系統支援 Azure 磁碟加密?

Azure 磁碟加密概觀一文列出支援 Azure 磁碟加密的 VM 大小VM 作業系統

是否可以使用 Azure 磁碟加密來加密開機和資料磁碟區?

您可以加密開機和資料磁碟區,但若未先將 OS 磁碟區加密,就無法加密資料。

是否可以使用 Azure 磁碟加密來加密已卸載的磁碟區?

否,Azure 磁碟加密只能將已掛接的磁碟區加密。

什麼是儲存體伺服器端加密?

儲存體伺服器端加密會將 Azure 儲存體中的 Azure 受控磁碟加密。 受控磁碟預設會採用使用平台管理的金鑰進行伺服器端加密來加密 (從 2017 年 6 月 10 日開始)。 您可以藉由指定客戶管理的金鑰,使用您自己的金鑰來管理受控磁碟的加密。 如需詳細資訊,請參閱 Azure 受控磁碟的伺服器端加密

Azure 磁碟加密與使用客戶管理的金鑰進行的儲存體伺服器端加密有何不同?其使用時機分別為何?

Azure 磁碟加密會使用客戶管理的金鑰,為 OS 磁碟、資料磁碟和暫存磁碟提供端對端加密。

  • 如果您的需求包括為前述各項加密和端對端加密,請使用 Azure 磁碟加密。
  • 如果您的需求僅為使用客戶管理的金鑰來將待用資料加密,請採用使用客戶管理的金鑰進行伺服器端加密。 您無法同時搭配客戶管理的金鑰使用 Azure 磁碟加密和儲存體伺服器端加密來將磁碟加密。
  • 如果您使用限制中所述的情節,請考慮使用客戶自控密鑰伺服器端加密
  • 如果您組織的原則允許您使用 Azure 管理的金鑰來將待用內容加密,則不需要採取任何動作,因為該內容預設便會加密。 就受控磁碟而言,儲存體內的內容預設會使用平台管理的金鑰進行伺服器端加密來加密。 此金鑰由 Azure 儲存體服務所管理。

如何輪替祕密或加密金鑰?

若要輪替祕密,只要呼叫您最初用來啟用磁碟加密的相同命令,並指定不同的 Key Vault 即可。 若要輪替金鑰加密金鑰,請呼叫您最初用來啟用磁碟加密的相同命令,並指定新的金鑰加密。

警告

  • 如果您先前已透過指定 Microsoft Entra 認證來加密此 VM,以 Azure 磁碟加密搭配 Microsoft Entra 應用程式,您必須繼續使用此選項。 在使用具有 Microsoft Entra ID 的 Azure 磁碟加密進行加密的 VM 上使用不含 Microsoft Entra ID 的 Azure 磁碟加密尚不受支援。

如果我最初未使用金鑰加密金鑰 (KEK),要如何新增或移除此金鑰?

若要新增金鑰加密金鑰,請再次呼叫啟用命令,並傳遞金鑰加密金鑰參數。 若要移除金鑰加密金鑰,請再次呼叫啟用命令,但不使用金鑰加密金鑰參數。

金鑰加密金鑰 (KEK) 應該使用何種大小?

Windows Server 2022 和 Windows 11 包含較新版本的 BitLocker,目前不適用於 RSA 2048 位金鑰加密金鑰。 在解決之前,請使用 RSA 3072 或 RSA 4096 位金鑰,如支援的作業系統中所述。

針對舊版 Windows,您可以改用 RSA 2048 金鑰加密金鑰。

Azure 磁碟加密可讓您使用攜帶自己的金鑰 (BYOK) 嗎?

是,您可以提供自己的金鑰加密金鑰。 這些金鑰會在 Azure Key Vault 中受到保護,這是 Azure 磁碟加密的金鑰儲存區。 如需金鑰加密金鑰支援案例的詳細資訊,請參閱建立及設定適用於 Azure 磁碟加密的金鑰保存庫

是否可以使用 Azure 建立的金鑰加密金鑰?

是,您可以使用 Azure Key Vault 來產生金鑰加密金鑰以供 Azure 磁碟加密使用。 這些金鑰會在 Azure Key Vault 中受到保護,這是 Azure 磁碟加密的金鑰儲存區。 如需金鑰加密金鑰的詳細資訊,請參閱建立及設定適用於 Azure 磁碟加密的金鑰保存庫

是否可以使用內部部署金鑰管理服務或 HSM 來保護加密金鑰?

您無法使用內部部署金鑰管理服務或 HSM 來保護 Azure 磁碟加密的加密金鑰。 只能使用 Azure Key Vault 服務來保護加密金鑰。 如需金鑰加密金鑰支援案例的詳細資訊,請參閱建立及設定適用於 Azure 磁碟加密的金鑰保存庫

設定 Azure 磁碟加密的必要條件為何?

Azure 磁碟加密有其先決條件。 請參閱建立及設定適用於 Azure 磁碟加密的金鑰保存庫一文,以建立新的金鑰保存庫,或針對磁碟加密存取設定現有的金鑰保存庫,從而啟用加密並保護祕密和金鑰。 如需金鑰加密金鑰支援案例的詳細資訊,請參閱建立及設定適用於 Azure 磁碟加密的金鑰保存庫

使用 Microsoft Entra 應用程式 (舊版) 來設定 Azure 磁碟加密的必要條件為何?

Azure 磁碟加密有其先決條件。 請參閱 Azure 磁碟加密與 Microsoft Entra 識別碼內容,以建立 Microsoft Entra 應用程式、建立新的金鑰保存庫,或設定現有的金鑰保存庫以進行磁碟加密存取,以啟用加密,以及保護秘密和金鑰。 如需金鑰加密金鑰支援情節的詳細資訊,請參閱使用 Microsoft Entra ID 建立及設定適用於 Azure 磁碟加密的金鑰保存庫

是否仍支援使用 Microsoft Entra 應用程式 (舊版) 來進行 Azure 磁碟加密?

是。 仍支援使用 Microsoft Entra 應用程式來進行磁碟加密。 不過,在加密新的 VM 時,建議您使用新的方法,而不要使用 Microsoft Entra 應用程式來加密。

是否可以將使用 Microsoft Entra 應用程式加密的 VM,遷移至未使用 Microsoft Entra 應用程式的加密?

目前沒有直接的移轉途徑,可將使用 Microsoft Entra 應用程式加密的機器移轉至未使用 Microsoft Entra 應用程式的加密。 此外,也沒有直接的途徑可從未使用 Microsoft Entra 應用程式的加密移轉至使用 AD 應用程式的加密。

Azure 磁碟加密支援 Azure PowerShell 的什麼版本?

使用最新版的 Azure PowerShell SDK 來設定 Azure 磁碟加密。 下載最新版的 Azure PowerShell。 Azure SDK 1.1.0 版「不」支援 Azure 磁碟加密。

什麼是磁碟 "Bek Volume" 或 "/mnt/azure_bek_disk"?

"Bek volume" 為本機資料磁碟區,其會安全地儲存加密的 Azure VM 所使用的加密金鑰。

注意

請勿刪除或編輯此磁碟中的任何內容。 由於 IaaS VM 上的任何加密作業都需要加密金鑰存在,因此請勿卸載該磁碟。

Azure 磁碟加密會使用何種加密方法?

Azure 磁碟加密會根據 Windows 版本選取 BitLocker 中的加密方法,如下所示:

Windows 版本 版本 加密方法
Windows Server 2012、Windows 10 或更新版本 >=1511 XTS-AES 256 位元
Windows Server 2012、Windows 8、8.1、10 < 1511 AES 256 位元 *
Windows Server 2008R2 具有 Diffuser 的 AES 256 位元

Windows 2012 和更新版本不支援具有 Diffuser 的 AES 256 位元。

若要確認 Windows OS 版本,請在您的虛擬機器中執行 'winver' 工具。

我是否可以備份及還原加密的 VM?

Azure 備份提供一種機制,可以在相同的訂用帳戶和區域內備份及還原加密的 VM。 如需相關指示,請參閱使用 Azure 備份來備份及還原加密的虛擬機器。 目前不支援將加密的 VM 還原至不同的區域。

我可以在哪裡提出問題或意見反應?

您可以在 Azure 磁碟加密的 Microsoft 問與答頁面 \(英文\) 上提問或提供意見反應。

下一步

在本文件中,您已了解有關 Azure 磁碟加密的常見問題。 如需此服務的詳細資訊,請參閱下列文章: