تشفير قرص Azure لنظامWindows (Microsoft.Azure.Security.AzureDiskEncryption)
نظرة عامة
يستخدم تشفير قرص Azure BitLocker لتوفير تشفير كامل للقرص على Azure virtual machines التي تعمل بنظام التشغيل Windows. تم دمج هذا الحل مع Azure Key Vault لإدارة مفاتيح تشفير القرص وبياناته السرية في اشتراك key vault.
المتطلبات الأساسية
للحصول على قائمة كاملة بالمتطلبات الأساسية، راجع تشفير قرص Azure لأجهزة ظاهرية بنظام Windows، وتحديداً الأقسام التالية:
مخطط الملحق
هناك إصداران من مخطط الملحق لتشفير قرص Azure (ADE):
- v2.2 - مخطط موصى به أحدث لا يستخدم خصائص Microsoft Entra.
- v1.1 - مخطط قديم يتطلب خصائص Microsoft Entra.
لتحديد المخطط المستهدف، يجب typeHandlerVersion
تعيين الخاصية بحيث تكون مساوية لإصدار المخطط الذي تريد استخدامه.
المخطط v2.2: لا يوجد معرف Microsoft Entra (مستحسن)
يوصى بمخطط v2.2 لجميع الأجهزة الظاهرية الجديدة ولا يتطلب خصائص Microsoft Entra.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"settings": {
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
المخطط v1.1: مع معرف Microsoft Entra
يتطلب المخطط 1.1 aadClientID
وإما aadClientSecret
أو AADClientCertificate
ولا يُنصح به للأجهزة الظاهرية الجديدة.
استخدام aadClientSecret
:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
استخدام AADClientCertificate
:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
قيم Property
ملاحظة: جميع القيم حساسة لحالة الأحرف.
الاسم | القيمة / المثال | نوع البيانات |
---|---|---|
apiVersion | 2019-07-01 | date |
publisher | Microsoft.Azure.Security | سلسلة |
النوع | AzureDiskEncryption | سلسلة |
typeHandlerVersion | 2.2، 1.1 | سلسلة |
(المخطط 1.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
(المخطط 1.1) AADClientSecret | كلمة المرور | سلسلة |
(المخطط 1.1) AADClientCertificate | thumbprint | سلسلة |
EncryptionOperation | EnableEncryption | سلسلة |
(اختياري - RSA-OAEP افتراضي) KeyEncryptionAlgorithm | 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' | سلسلة |
KeyVaultURL | عنوان URL | سلسلة |
KeyVaultResourceId | عنوان URL | سلسلة |
(اختياري) KeyEncryptionKeyURL | عنوان URL | سلسلة |
(اختياري) KekVaultResourceId | عنوان URL | سلسلة |
(اختياري) SequenceVersion | uniqueidentifier | سلسلة |
VolumeType | نظام التشغيل، البيانات، الكل | سلسلة |
توزيع قالب
للحصول على مثال لتوزيع القالب استنادًا إلى المخطط v2.2، راجع قالب التشغيل السريع من Azure encrypt-running-windows-vm-without-aad.
للحصول على مثال لتوزيع القالب استنادًا إلى المخطط v1.1، راجع قالب التشغيل السريع من Azure encrypt-running-windows-vm.
إشعار
في حال تعيين المعلمة VolumeType
إلى الكل، سيتم تشفير أقراص البيانات فقط إذا تم تنسيقها بشكل صحيح.
استكشاف الأخطاء وإصلاحها والدعم
استكشاف الأخطاء وإصلاحها
لاستكشاف الأخطاء وإصلاحها، راجع دليل استكشاف أخطاء تشفير قرص Azure وإصلاحها.
يدعم
إذا احتجت إلى مزيد من المساعدة بخصوص هذه المقالة في أي وقت، يمكنك الاتصال بخبراء Azure على منتديات MSDN Azure وStack Overflow.
بدلاً من ذلك، يمكنك تقديم حدث دعم Azure. انتقل إلى Azure support، وحدد "Get support". للحصول على معلومات حول استخدام دعم Azure، اقرأ الأسئلة المتداولة حول دعم Microsoft Azure.
الخطوات التالية
- لمزيد من المعلومات حول الملحقات، راجع ملحقات الجهاز الظاهري وميزاته لنظام Windows.
- لمزيد من المعلومات حول تشفير قرص Azure لنظام Windows، راجع الأجهزة الظاهرية بنظام Windows.