تشفير قرص Azure لنظامWindows (Microsoft.Azure.Security.AzureDiskEncryption)

نظرة عامة

يستخدم تشفير قرص Azure BitLocker لتوفير تشفير كامل للقرص على Azure virtual machines التي تعمل بنظام التشغيل Windows. تم دمج هذا الحل مع Azure Key Vault لإدارة مفاتيح تشفير القرص وبياناته السرية في اشتراك key vault.

المتطلبات الأساسية

للحصول على قائمة كاملة بالمتطلبات الأساسية، راجع تشفير قرص Azure لأجهزة ظاهرية بنظام Windows، وتحديداً الأقسام التالية:

• الأجهزة الظاهرية وأنظمة التشغيل المدعومة
• متطلبات الشبكات
• متطلبات نهج المجموعة

مخطط الملحق

هناك إصداران من مخطط الملحق لتشفير قرص Azure (ADE):

• v2.2 - مخطط موصى به أحدث لا يستخدم خصائص Microsoft Entra.
• v1.1 - مخطط قديم يتطلب خصائص Microsoft Entra.

لتحديد المخطط المستهدف، يجب typeHandlerVersion تعيين الخاصية بحيث تكون مساوية لإصدار المخطط الذي تريد استخدامه.

المخطط v2.2: لا يوجد معرف Microsoft Entra (مستحسن)

يوصى بمخطط v2.2 لجميع الأجهزة الظاهرية الجديدة ولا يتطلب خصائص Microsoft Entra.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryption",
        "typeHandlerVersion": "2.2",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[keyVaultResourceID]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[kekVaultResourceID]",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

المخطط v1.1: مع معرف Microsoft Entra

يتطلب المخطط 1.1 aadClientID وإما aadClientSecret أو AADClientCertificate ولا يُنصح به للأجهزة الظاهرية الجديدة.

استخدام aadClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

استخدام AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

قيم Property

ملاحظة: جميع القيم حساسة لحالة الأحرف.

الاسم	القيمة / المثال	نوع البيانات
apiVersion	2019-07-01	date
publisher	Microsoft.Azure.Security	سلسلة
type	AzureDiskEncryption	سلسلة
typeHandlerVersion	2.2، 1.1	سلسلة
(المخطط 1.1) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(المخطط 1.1) AADClientSecret	كلمة المرور	سلسلة
(المخطط 1.1) AADClientCertificate	thumbprint	سلسلة
EncryptionOperation	EnableEncryption	سلسلة
(اختياري - RSA-OAEP افتراضي) KeyEncryptionAlgorithm	'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5'	سلسلة
KeyVaultURL	عنوان URL	سلسلة
KeyVaultResourceId	عنوان URL	سلسلة
(اختياري) KeyEncryptionKeyURL	عنوان URL	سلسلة
(اختياري) KekVaultResourceId	عنوان URL	سلسلة
(اختياري) SequenceVersion	uniqueidentifier	سلسلة
VolumeType	نظام التشغيل، البيانات، الكل	سلسلة

توزيع قالب

للحصول على مثال لتوزيع القالب استنادًا إلى المخطط v2.2، راجع قالب التشغيل السريع من Azure encrypt-running-windows-vm-without-aad.

للحصول على مثال لتوزيع القالب استنادًا إلى المخطط v1.1، راجع قالب التشغيل السريع من Azure encrypt-running-windows-vm.

إشعار

في حال تعيين المعلمة VolumeType إلى الكل، سيتم تشفير أقراص البيانات فقط إذا تم تنسيقها بشكل صحيح.

استكشاف الأخطاء وإصلاحها والدعم

استكشاف الأخطاء وإصلاحها‬

لاستكشاف الأخطاء وإصلاحها، راجع دليل استكشاف أخطاء تشفير قرص Azure وإصلاحها.

يدعم

إذا احتجت إلى مزيد من المساعدة بخصوص هذه المقالة في أي وقت، يمكنك الاتصال بخبراء Azure على منتديات MSDN Azure وStack Overflow.

بدلاً من ذلك، يمكنك تقديم حدث دعم Azure. انتقل إلى Azure support، وحدد "Get support". للحصول على معلومات حول استخدام دعم Azure، اقرأ الأسئلة المتداولة حول دعم Microsoft Azure.

الخطوات التالية

• لمزيد من المعلومات حول الملحقات، راجع ملحقات الجهاز الظاهري وميزاته لنظام Windows.
• لمزيد من المعلومات حول تشفير قرص Azure لنظام Windows، راجع الأجهزة الظاهرية بنظام Windows.