共用方式為

管理 Azure 本機版本 23H2 上的 BitLocker 加密

  • 發行項

適用於:Azure 本機版本 23H2

本文說明如何檢視及啟用 BitLocker 加密,以及擷取 Azure 本機實例上的 BitLocker 修復密鑰。

必要條件

開始之前,請確定您可以存取已部署、註冊及連線到 Azure 的 Azure 本機版本 23H2 實例。

透過 Azure 入口網站 檢視 BitLocker 設定

若要檢視 Azure 入口網站 中的 BitLocker 設定,請確定您已套用 MCSB 方案。 如需詳細資訊,請參閱 套用 Microsoft Cloud Security Benchmark 方案

BitLocker 提供兩種類型的保護:OS 磁碟區的加密,以及數據磁碟區的加密。 您只能在 Azure 入口網站 中檢視 BitLocker 設定。 若要管理設定,請參閱 使用PowerShell管理 BitLocker 設定。

顯示磁碟區加密 Azure 入口網站 數據保護頁面的螢幕快照。

使用 PowerShell 管理 BitLocker 設定

您可以在 Azure 本機實例上檢視、啟用和停用磁碟區加密設定。

PowerShell Cmdlet 屬性

下列 Cmdlet 屬性適用於使用 BitLocker 模組進行磁碟區加密: AzureStackBitLockerAgent

  •   Get-ASBitLocker -<Local | PerNode>

    其中 LocalPerNode 定義 Cmdlet 執行所在的範圍。

    • 本機 - 可以在一般遠端 PowerShell 工作階段中執行,並提供本機節點的 BitLocker 磁碟區詳細數據。
    • PerNode - 需要 CredSSP(使用遠端 PowerShell 時)或遠端桌面會話 (RDP)。 提供每個節點的 BitLocker 磁碟區詳細數據。
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

使用 BitLocker 檢視磁碟區加密的加密設定

請遵循下列步驟來檢視加密設定:

  1. 線上到您的 Azure 本機電腦。

  2. 使用本機系統管理員認證執行下列 PowerShell Cmdlet:

    Get-ASBitLocker

啟用、停用 BitLocker 的磁碟區加密

請遵循下列步驟,使用 BitLocker 啟用磁碟區加密:

  1. 線上到您的 Azure 本機電腦。

  2. 使用本機系統管理員認證執行下列 PowerShell Cmdlet:

    重要

    • 在磁碟區類型BootVolume上使用 BitLocker 啟用磁碟區加密需要 TPM 2.0。

    • 在磁碟區類型 ClusterSharedVolume (CSV) 上啟用 BitLocker 的磁碟區加密時,磁碟區會處於重新導向模式,且任何工作負載 VM 都會短暫暫停。 此作業具有干擾性;據此規劃。 如需詳細資訊,請參閱 如何在 Windows Server 2012 中設定 BitLocker 加密叢集磁碟。

    Enable-ASBitLocker

請遵循下列步驟,使用 BitLocker 停用磁碟區加密:

  1. 線上到您的 Azure 本機電腦。

  2. 使用本機系統管理員認證執行下列 PowerShell Cmdlet:

    Disable-ASBitLocker

取得 BitLocker 修復金鑰

注意

您可以隨時從本機 Active Directory 擷取 BitLocker 密鑰。 如果叢集已關閉且您沒有密鑰,則可能無法存取叢集上的加密數據。 若要儲存 BitLocker 修復金鑰,建議您將其匯出並儲存在安全的外部位置,例如 Azure 金鑰保存庫。

請遵循下列步驟來匯出叢集的修復金鑰:

  1. 以本機系統管理員身分連線到您的 Azure 本機實例。 在本機控制台會話或本機遠端桌面通訊協定 (RDP) 工作階段或具有 CredSSP 驗證的遠端 PowerShell 工作階段中執行下列命令:

  2. 若要取得修復金鑰資訊,請在 PowerShell 中執行下列命令:

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

    以下是範例輸出:

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

 ComputerName    PasswordId    RecoveryKey
 -------         ----------    -----------
 ASB88RR1OU19    {Password1}   Key1
 ASB88RR1OU20    {Password2}   Key2
 ASB88RR1OU21    {Password3}   Key3
 ASB88RR1OU22    {Password4}   Key4

下一步