Azure Disk Encryption pro virtuální počítače s Windows

Důležité

15. září 2028 je naplánované vyřazení služby Azure Disk Encryption. Do tohoto data můžete dál používat Službu Azure Disk Encryption bez přerušení. 15. září 2028 se úlohy s podporou ADE budou dál spouštět, ale šifrované disky se po restartování virtuálního počítače nepodaří odemknout, což vede k přerušení služeb.

Pro nové virtuální počítače používejte šifrování na hostiteli nebo zvažte velikosti důvěrných virtuálních počítačů s šifrováním disku s operačním systémem pro důvěrné výpočetní úlohy. Všechny virtuální počítače s podporou ADE (včetně záloh) se musí migrovat na šifrování na hostiteli před datem vyřazení, aby nedošlo k přerušení služeb. Podrobnosti najdete v tématu Migrace ze služby Azure Disk Encryption na šifrování na hostiteli .

Platí pro: ✔️ Virtuální počítače s Windows ✔️ Flexibilní škálovací sady.

Azure Disk Encryption přispívá k zabezpečení a ochraně vašich dat, aby byly splněny závazky organizace související se zabezpečením a dodržováním předpisů. Používá nástroj BitLocker systému Windows k poskytování šifrování svazků pro virtuální počítače Azure a datové disky virtuálních počítačů Azure a je integrováno se službou Azure Key Vault, která vám pomůže řídit a spravovat šifrovací klíče a tajné klíče disku.

Služba Azure Disk Encryption je odolná proti zóně stejným způsobem jako u virtuálních počítačů. Podrobnosti najdete v tématu Služby Azure, které podporují Zóny dostupnosti.

Pokud používáte Microsoft Defender for Cloud, zobrazí se upozornění, pokud máte virtuální počítače, které nejsou šifrované. Výstrahy se zobrazují jako vysoká závažnost a doporučení je zašifrovat tyto virtuální počítače.

Upozornění na šifrování disků v programu Microsoft Defender for Cloud

Upozornění

  • U virtuálních počítačů dříve šifrovaných pomocí služby Azure Disk Encryption s ID Microsoft Entra musíte pokračovat v používání stejné metody. Podrobnější informace viz Azure Disk Encryption s Microsoft Entra ID (předchozí verze).
  • Implementace těchto doporučení může zvýšit využití vašich dat, sítě nebo výpočetních prostředků, což může mít za následek více nákladů na licence nebo předplatné. K vytváření prostředků v podporovaných oblastech se vyžaduje platné aktivní předplatné Azure.
  • Nikdy nepoužívejte BitLocker přímo k dešifrování virtuálních počítačů nebo disků zašifrovaných prostřednictvím služby Azure Disk Encryption, protože to může vést ke ztrátě dat.

Základy Azure Disk Encryption pro Windows se můžete naučit během několika minut s rychlým startem Vytvoření a šifrování virtuálního počítače s Windows pomocí Azure CLI nebo s rychlým startem Vytvoření a šifrování virtuálního počítače s Windows pomocí Azure PowerShell.

Podporované virtuální počítače a operační systémy

Podporované virtuální počítače

Virtuální počítače s Windows jsou dostupné v různých velikostech. Azure Disk Encryption se podporuje na virtuálních počítačích generace 1 a 2. generace. Azure Disk Encryption je také k dispozici pro virtuální počítače se službou Premium Storage.

Azure Disk Encryption není k dispozici na virtuálních počítačích Basic, A-Series, virtuálních počítačích řady v6, virtuálních počítačích řady v7 nebo novějších nebo na virtuálních počítačích s méně než 2 GB paměti. Další výjimky najdete v tématu Azure Disk Encryption: Omezení.

Podporované operační systémy

Všechny verze Windows, které podporují Nástroj BitLocker a jsou nakonfigurované tak, aby splňovaly požadavky nástroje BitLocker. Další informace najdete v tématu Přehled nástroje BitLocker.

Poznámka:

Windows Server 2022 a Windows 11 nepodporují 2048bitový klíč RSA. Další informace najdete v tématu Nejčastější dotazy: Jakou velikost mám použít pro šifrovací klíč klíče?

Windows Server 2012 R2 Core a Windows Server 2016 Core vyžadují instalaci komponenty bdehdcfg na virtuální počítač kvůli šifrování.

Windows Server 2008 R2 vyžaduje instalaci rozhraní .NET Framework 4.5 pro šifrování; nainstalujte ji ze služby Windows Update s volitelnou aktualizací rozhraní Microsoft .NET Framework 4.5.2 pro systémy Windows Server 2008 R2 na bázi x64 (KB2901983).

Požadavky na síť

Pokud chcete povolit Službu Azure Disk Encryption, musí virtuální počítače splňovat následující požadavky na konfiguraci koncového bodu sítě:

  • Virtuální počítač s Windows se musí připojit ke koncovému bodu úložiště Azure, který je hostitelem úložiště rozšíření Azure, a účtu úložiště Azure, který je hostitelem souborů VHD.
  • Pokud vaše zásady zabezpečení omezují přístup z virtuálních počítačů Azure na internet, můžete přeložit předchozí identifikátor URI a nakonfigurovat konkrétní pravidlo, které povolí odchozí připojení k IP adresám. Další informace najdete v tématu Azure Key Vault za bránou firewall.

Požadavky na zásady skupiny

Azure Disk Encryption používá ochranu externího klíče nástroje BitLocker pro virtuální počítače s Windows. Pro virtuální počítače připojené k doméně neaplikujte žádné zásady skupiny, které vynucují ochranu TPM. Informace o zásadách skupiny pro povolení BitLockeru bez kompatibilního čipu TPM najdete v tématu Referenční informace o zásadách skupiny nástroje BitLocker.

Zásady BitLockeru na virtuálních počítačích připojených k doméně s vlastními zásadami skupiny musí obsahovat následující nastavení: Nakonfigurujte uživatelské úložiště informací o obnovení BitLockeru –> Povolit 256bitový obnovovací klíč. Azure Disk Encryption selže, když jsou vlastní nastavení skupinových zásad pro BitLocker nekompatibilní. Na počítačích, které nemají správné nastavení zásad, použijte novou zásadu a vynuťte aktualizaci nové zásady (gpupdate.exe /force). Může se vyžadovat restartování.

Funkce zásad skupiny pro správu a monitorování nástroje Microsoft BitLocker (MBAM) nejsou kompatibilní se službou Azure Disk Encryption.

Upozornění

Azure Disk Encryption neukládá obnovovací klíče. Pokud je povoleno nastavení zabezpečení Interaktivní přihlášení: Hranice blokování účtu počítače, lze počítače obnovit pouze poskytnutím obnovovacího klíče prostřednictvím sériové konzoly. Pokyny k zajištění povolení příslušných zásad obnovení najdete v plánu průvodce obnovením BitLockeru.

Azure Disk Encryption selže, pokud zásady skupiny na úrovni domény zablokují algoritmus AES-CBC, který používá BitLocker.

Požadavky na úložiště šifrovacích klíčů

Azure Disk Encryption vyžaduje, aby služba Azure Key Vault řídila a spravuje šifrovací klíče a tajné kódy disků. Váš trezor klíčů a virtuální počítače se musí nacházet ve stejné oblasti a předplatném Azure.

Podrobnosti najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption.

Terminologie

Následující tabulka definuje některé běžné termíny používané v dokumentaci ke službě Azure Disk Encryption:

Terminologie Definice
Azure Key Vault Key Vault je kryptografická služba pro správu klíčů, která je založená na modulech zabezpečení hardwaru ověřených standardem FIPS (Federal Information Processing Standards). Tyto standardy pomáhají chránit kryptografické klíče a citlivé tajné kódy. Další informace najdete v dokumentaci ke službě Azure Key Vault a vytvoření a konfiguraci trezoru klíčů pro Službu Azure Disk Encryption.
Azure CLI (příkazový řádek nástroje Azure) Azure CLI je optimalizované pro správu a správu prostředků Azure z příkazového řádku.
nástroj BitLocker BitLocker je oborově rozpoznaná technologie šifrování svazků s Windows, která se používá k povolení šifrování disků na virtuálních počítačích s Windows.
Šifrovací klíč pro klíče (KEK) Asymetrický klíč (RSA 2048), který můžete použít k ochraně nebo zabalení tajného kódu. Můžete zadat klíč chráněný modulem hardwarového zabezpečení (HSM) nebo klíč chráněný softwarem. Další informace najdete v dokumentaci ke službě Azure Key Vault a vytvoření a konfiguraci trezoru klíčů pro Službu Azure Disk Encryption.
Cmdlety PowerShell Další informace najdete v rutinách Azure PowerShellu.

Další kroky

  • Last updated on