Azure Disk Encryption pro Windows (Microsoft.Azure.Security.AzureDiskEncryption)

Přehled

Azure Disk Encryption používá nástroj BitLocker k zajištění úplného šifrování disků na virtuálních počítačích Azure s Windows. Toto řešení je integrované se službou Azure Key Vault pro správu šifrovacích klíčů disků a tajných kódů ve vašem předplatném trezoru klíčů.

Předpoklady

Úplný seznam požadavků najdete v tématu Azure Disk Encryption pro virtuální počítače s Windows, konkrétně následující části:

• Podporované virtuální počítače a operační systémy
• Požadavky na síť
• Požadavky na zásady skupiny

Schéma rozšíření

Pro Azure Disk Encryption (ADE) existují dvě verze schématu rozšíření:

• v2.2 – Novější doporučené schéma, které nepoužívá vlastnosti Microsoft Entra.
• v1.1 – Starší schéma, které vyžaduje vlastnosti Microsoft Entra.

Chcete-li vybrat cílové schéma, musí být vlastnost nastavena na verzi schématu, typeHandlerVersion kterou chcete použít.

Schéma v2.2: Žádné ID Microsoft Entra (doporučeno)

Schéma verze 2.2 se doporučuje pro všechny nové virtuální počítače a nevyžaduje vlastnosti Microsoft Entra.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryption",
        "typeHandlerVersion": "2.2",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[keyVaultResourceID]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[kekVaultResourceID]",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Schéma v1.1: s ID Microsoft Entra

Schéma 1.1 vyžaduje aadClientID a buď aadClientSecret nebo AADClientCertificate nedoporučuje pro nové virtuální počítače.

Pomocí aadClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Pomocí AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Hodnoty vlastností

Poznámka: U všech hodnot se rozlišují malá a velká písmena.

Název	Hodnota / příklad	Datový typ
apiVersion	2019-07-01	datum
Vydavatel	Microsoft.Azure.Security	řetězec
type	AzureDiskEncryption	řetězec
typeHandlerVersion	2.2, 1.1	řetězec
(Schéma 1.1) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(Schéma 1.1) AADClientSecret	Heslo	řetězec
(Schéma 1.1) AADClientCertificate	Miniatura	řetězec
EncryptionOperation	EnableEncryption	řetězec
(volitelné – výchozí RSA-OAEP ) KeyEncryptionAlgorithm	RSA-OAEP, RSA-OAEP-256, RSA1_5	řetězec
KeyVaultURL	url	řetězec
KeyVaultResourceId	url	řetězec
(volitelné) KeyEncryptionKeyURL	url	řetězec
(volitelné) KekVaultResourceId	url	řetězec
(volitelné) SequenceVersion	Uniqueidentifier	řetězec
VolumeType	Operační systém, data, vše	řetězec

Nasazení šablon

Příklad nasazení šablony na základě schématu v2.2 najdete v tématu Šablony rychlého startu Azure Encrypt-running-windows-vm-without-aad.

Příklad nasazení šablony na základě schématu verze 1.1 najdete v tématu Azure Quickstart Template encrypt-running-windows-vm.

Poznámka:

VolumeType Pokud je parametr nastaven na Hodnotu Vše, datové disky se zašifrují jenom v případě, že jsou správně formátované.

Řešení potíží a podpora

Odstranění potíží

Informace o řešení potíží najdete v průvodci odstraňováním potíží pro službu Azure Disk Encryption.

Technická podpora

Pokud potřebujete další pomoc v libovolném bodě tohoto článku, můžete kontaktovat odborníky na Azure na fórech MSDN Azure a Stack Overflow.

Případně můžete podat incident podpora Azure. Přejděte na podpora Azure a vyberte Získat podporu. Informace o používání podpory Azure najdete v nejčastějších dotazech k podpoře Microsoft Azure.

Další kroky

• Další informace o rozšířeních najdete v tématu Rozšíření a funkce virtuálního počítače pro Windows.
• Další informace o službě Azure Disk Encryption pro Windows najdete v tématu Virtuální počítače s Windows.