Nejčastější dotazy ke službě Azure Disk Encryption pro virtuální počítače s Windows

Azure Disk Encryption pro virtuální počítače s Windows používá funkci BitLockeru pro Windows k zajištění úplného šifrování disku s operačním systémem a datových disků. Kromě toho poskytuje šifrování dočasného disku, pokud je parametr VolumeType all. Obsah se šifruje z virtuálního počítače do back-endu úložiště. Poskytuje tak komplexní šifrování pomocí klíče spravovaného zákazníkem.

Viz podporované virtuální počítače a operační systémy.

Služba Azure Disk Encryption je obecně dostupná ve všech veřejných oblastech Azure.

Obecná dostupnost služby Azure Disk Encryption podporuje šablony Azure Resource Manageru, Azure PowerShell a Azure CLI. Různá uživatelská prostředí poskytují flexibilitu. Pro virtuální počítače máte tři různé možnosti povolení šifrování disků. Další informace o uživatelském prostředí a podrobných doprovodných materiálech dostupných ve službě Azure Disk Encryption najdete ve scénářích služby Azure Disk Encryption pro Windows.

Za šifrování disků virtuálních počítačů pomocí služby Azure Disk Encryption se neúčtují žádné poplatky, ale k používání služby Azure Key Vault se účtují poplatky. Další informace o nákladech na Azure Key Vault najdete na stránce s cenami služby Key Vault.

Začněte tím, že si přečtete přehled služby Azure Disk Encryption.

Přehled služby Azure Disk Encryption obsahuje seznam velikostí virtuálních počítačů a operačních systémů virtuálních počítačů , které podporují službu Azure Disk Encryption.

Spouštěcí i datové svazky můžete šifrovat, ale nemůžete je zašifrovat bez prvního šifrování svazku operačního systému.

Ne, Azure Disk Encryption šifruje jenom připojené svazky.

Šifrování na straně serveru úložiště šifruje spravované disky Azure ve službě Azure Storage. Spravované disky se ve výchozím nastavení šifrují pomocí šifrování na straně serveru pomocí klíče spravovaného platformou (od 10. června 2017). Šifrování spravovaných disků s vlastními klíči můžete spravovat zadáním klíče spravovaného zákazníkem. Další informace najdete v tématu Šifrování spravovaných disků Azure na straně serveru.

Azure Disk Encryption poskytuje komplexní šifrování disku s operačním systémem, datových disků a dočasný disk s klíčem spravovaným zákazníkem.

• Pokud vaše požadavky zahrnují šifrování všech výše uvedených a kompletních šifrování, použijte Azure Disk Encryption.
• Pokud vaše požadavky zahrnují šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem, použijte šifrování na straně serveru s klíči spravovanými zákazníkem. Disk nejde zašifrovat pomocí služby Azure Disk Encryption a šifrování na straně serveru úložiště pomocí klíčů spravovaných zákazníkem.
• Pokud používáte scénář označovaný v omezeních, zvažte šifrování na straně serveru s klíči spravovanými zákazníkem.
• Pokud zásady vaší organizace umožňují šifrovat neaktivní uložený obsah pomocí klíče spravovaného Azure, není potřeba žádná akce – obsah se ve výchozím nastavení šifruje. U spravovaných disků se obsah uvnitř úložiště ve výchozím nastavení šifruje pomocí šifrování na straně serveru pomocí klíče spravovaného platformou. Klíč spravuje služba Azure Storage.

Pokud chcete tajné kódy otočit, stačí zavolat stejný příkaz, který jste původně použili k povolení šifrování disku a zadat jiný trezor klíčů Key Vault. Pokud chcete šifrovací klíč klíče otočit, zavolejte stejný příkaz, který jste původně použili k povolení šifrování disku, a zadejte nové šifrování klíče.

Pokud chcete přidat šifrovací klíč klíče, zavolejte příkaz enable znovu a předejte parametr šifrovacího klíče klíče klíče. Pokud chcete šifrovací klíč klíče odebrat, zavolejte znovu příkaz enable bez parametru šifrovacího klíče klíče.

Windows Server 2022 a Windows 11 obsahují novější verzi BitLockeru a v současné době nefunguje s šifrovacími klíči RSA 2048. Dokud se nevyřeší, použijte klíče RSA 3072 nebo RSA 4096bitové, jak je popsáno v podporovaných operačních systémech.

Pro starší verzi Systému Windows můžete místo toho použít šifrovací klíče klíče RSA 2048.

Ano, můžete zadat vlastní šifrovací klíče klíče. Tyto klíče jsou chráněné ve službě Azure Key Vault, což je úložiště klíčů pro Službu Azure Disk Encryption. Další informace o scénářích podpory šifrovacích klíčů klíčů najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption.

Ano, službu Azure Key Vault můžete použít k vygenerování šifrovacího klíče pro šifrování disků Azure. Tyto klíče jsou chráněné ve službě Azure Key Vault, což je úložiště klíčů pro Službu Azure Disk Encryption. Další informace o šifrovacím klíči klíče najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption.

Nemůžete použít místní službu pro správu klíčů ani HSM k ochraně šifrovacích klíčů pomocí služby Azure Disk Encryption. K ochraně šifrovacích klíčů můžete použít pouze službu Azure Key Vault. Další informace o scénářích podpory šifrovacího klíče klíče najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption.

Pro Službu Azure Disk Encryption existují požadavky. Přečtěte si článek Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption pro vytvoření nového trezoru klíčů nebo nastavení existujícího trezoru klíčů pro přístup k šifrování disků pro povolení šifrování a zabezpečení tajných kódů a klíčů. Další informace o scénářích podpory šifrovacího klíče klíče najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption.

Pro Službu Azure Disk Encryption existují požadavky. Informace o vytvoření aplikace Microsoft Entra, vytvoření nového trezoru klíčů nebo nastavení existujícího trezoru klíčů pro přístup k šifrování disků pro povolení šifrování a zabezpečení tajných kódů a klíčů najdete v obsahu Azure Disk Encryption s obsahem Microsoft Entra ID . Další informace o scénářích podpory šifrovacího klíče klíče najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Azure Disk Encryption pomocí Microsoft Entra ID.

Ano. Šifrování disků pomocí aplikace Microsoft Entra je stále podporováno. Při šifrování nových virtuálních počítačů se ale doporučuje místo šifrování pomocí aplikace Microsoft Entra použít novou metodu.

V současné době neexistuje přímá cesta migrace pro počítače, které byly šifrované pomocí aplikace Microsoft Entra pro šifrování bez aplikace Microsoft Entra. Kromě toho neexistuje přímá cesta od šifrování bez aplikace Microsoft Entra k šifrování pomocí aplikace AD.

Ke konfiguraci služby Azure Disk Encryption použijte nejnovější verzi sady SDK Azure PowerShellu. Stáhněte si nejnovější verzi Azure PowerShellu. Azure Disk Encryption nepodporuje sadu Azure SDK verze 1.1.0.

"Svazek Bek" je místní datový svazek, který bezpečně ukládá šifrovací klíče pro šifrované virtuální počítače Azure.

Azure Disk Encryption vybere metodu šifrování v Nástroji BitLocker na základě verze Windows následujícím způsobem:

* 256bitová verze AES s difuzorem není ve Windows 2012 a novějších podporovaných verzích.

Pokud chcete zjistit verzi operačního systému Windows, spusťte na virtuálním počítači nástroj winver.

Azure Backup poskytuje mechanismus zálohování a obnovení šifrovaných virtuálních počítačů ve stejném předplatném a oblasti. Pokyny najdete v tématu Zálohování a obnovení šifrovaných virtuálních počítačů pomocí služby Azure Backup. Obnovení šifrovaného virtuálního počítače do jiné oblasti se v současné době nepodporuje.

Můžete klást otázky nebo poskytovat zpětnou vazbu na stránce otázek Microsoft Q&A pro Službu Azure Disk Encryption.

Další kroky

V tomto dokumentu jste se dozvěděli více o nejčastějších otázkách souvisejících se službou Azure Disk Encryption. Další informace o této službě najdete v následujících článcích:

• Přehled služby Azure Disk Encryption
• Použití šifrování disků ve službě Azure Security Center
• Šifrování neaktivních uložených dat v Azure