Azure Disk Encryption pour Windows (Microsoft.Azure.Security.AzureDiskEncryption)
Vue d’ensemble
Azure Disk Encryption s’appuie sur BitLocker pour fournir un chiffrement de disque complet des machines virtuelles Azure exécutant Windows. La solution est intégrée à Azure Key Vault, ce qui vous permet de gérer les clés de chiffrement de disque et les secrets dans votre abonnement Key Vault.
Prérequis
Pour obtenir la liste complète des conditions préalables requises, consultez Azure Disk Encryption pour les machines virtuelles Windows, en particulier les sections suivantes :
- Machines virtuelles et systèmes d’exploitation pris en charge
- Exigences réseau
- Exigences de stratégies de groupe
Schéma de l’extension
Il existe deux versions du schéma d’extension pour Azure Disk Encryption (ADE) :
- v2.2 : un schéma recommandé plus récent qui n’utilise pas les propriétés Microsoft Entra.
- v1.1 : un schéma plus ancien qui nécessite les propriétés Microsoft Entra.
Pour pouvoir sélectionner un schéma cible, vous devez définir la propriété typeHandlerVersion sur la version du schéma que vous souhaitez utiliser.
Schéma v2.2 :pas de Microsoft Entra ID (recommandé)
Le schéma v2.2 est recommandé pour toutes les nouvelles machines virtuelles et ne nécessite pas de propriétés Microsoft Entra.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"settings": {
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Schéma v1.1 : avec Microsoft Entra ID
Le schéma 1.1 nécessite aadClientID et aadClientSecret ou AADClientCertificate. Il n’est pas recommandé pour les nouvelles machines virtuelles.
Utilisation de aadClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Utilisation de AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Valeurs de propriétés
Remarque : toutes les valeurs respectent la casse.
| Nom | Valeur/Exemple | Type de données |
|---|---|---|
| apiVersion | 2019-07-01 | Date |
| publisher | Microsoft.Azure.Security | string |
| type | AzureDiskEncryption | string |
| typeHandlerVersion | 2.2, 1.1 | string |
| (schéma 1.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (schéma 1.1) AADClientSecret | mot de passe | string |
| (schéma 1.1) AADClientCertificate | thumbprint | string |
| EncryptionOperation | EnableEncryption | string |
| (facultatif – par défaut, RSA-OAEP) KeyEncryptionAlgorithm | « RSA-OAEP », « RSA-OAEP-256 », « RSA1_5 » | string |
| KeyVaultURL | url | string |
| KeyVaultResourceId | url | string |
| (facultatif) KeyEncryptionKeyURL | url | string |
| (facultatif) KekVaultResourceId | url | string |
| (facultatif) SequenceVersion | UNIQUEIDENTIFIER | string |
| VolumeType | Système d’exploitation, données, tout | string |
Déploiement de modèle
Pour voir un exemple de déploiement de modèle basé sur le schéma v2.2, consultez le modèle de démarrage rapide Azure encrypt-running-windows-vm-without-aad.
Pour un exemple de déploiement de modèles basé sur le schéma v1.1, consultez le modèle de démarrage rapide Azure encrypt-running-windows-vm.
Notes
Par ailleurs, si le paramètre VolumeType a la valeur All, les disques de données ne sont chiffrés que s’ils sont correctement formatés.
Dépannage et support technique
Dépanner
Pour la résolution des problèmes, reportez-vous au guide de dépannage Azure Disk Encryption.
Support
Si vous avez besoin d’une aide supplémentaire à quelque étape que ce soit dans cet article, vous pouvez contacter les experts Azure sur les forums MSDN Azure et Stack Overflow.
Vous pouvez également signaler un incident au support Azure. Accédez à Support Azure, puis sélectionnez Obtenir de l’aide. Pour plus d’informations sur l’utilisation du support Azure, lisez la FAQ du support Microsoft Azure.
Étapes suivantes
- Pour plus d’informations sur les extensions de machine virtuelle, consultez la page Extensions et fonctionnalités de machine virtuelle pour Windows.
- Pour plus d’informations sur Azure Disk Encryption pour Windows, consultez Machines virtuelles Windows.