適用対象: Azure Local の Hyperconverged デプロイ
この記事では、BitLocker 暗号化を表示して有効にし、Azure ローカル インスタンスで BitLocker 回復キーを取得する方法について説明します。
前提条件
開始する前に、Azure にデプロイ、登録、接続されている Azure ローカル インスタンスにアクセスできることを確認します。
Azure portal を使用して BitLocker 設定を表示する
Azure portal で BitLocker の設定を表示するには、MCSB イニシアチブを適用していることを確認します。 詳細については、「 Apply Microsoft クラウド セキュリティ ベンチマーク イニシアチブ」を参照してください。
BitLocker には、OS ボリュームの暗号化とデータ ボリュームの暗号化の 2 種類の保護が用意されています。 BitLocker の設定は、Azure portal でのみ表示できます。 設定を管理するには、「 PowerShell を使用した BitLocker 設定の管理を参照してください。
![Azure portal のボリューム暗号化の [データ保護] ページを示すスクリーンショット。](media/manage-bitlocker/manage-bitlocker.png?view=azloc-2604#lightbox)
PowerShell を使用して BitLocker 設定を管理する
Azure ローカル インスタンスでボリューム暗号化設定を表示、有効化、無効化できます。
PowerShell コマンドレットのプロパティ
次のコマンドレットは、 AzureStackBitLockerAgent モジュールの一部です。
Get-ASBitLocker
Azure ローカル インスタンス上のボリュームの現在の BitLocker 暗号化状態を取得します。
Get-ASBitLocker -VolumeType <BootVolume | ClusterSharedVolume> -<Local | PerNode>
| パラメーター | 必須 | Description |
|---|---|---|
-VolumeType |
はい | クエリを実行するボリュームの種類。 有効な値: BootVolume、 ClusterSharedVolume。 |
-Local |
いいえ | ローカル ノード上のボリュームの BitLocker の詳細を取得します。 通常のリモート PowerShell セッションで実行できます。 これが既定のスコープです。 |
-PerNode |
いいえ | クラスター内の各ノードの BitLocker の詳細を取得します。 CredSSP 認証 (リモート PowerShell) またはリモート デスクトップ (RDP) セッションが必要です。 |
Enable-ASBitLocker
指定したボリュームの種類で BitLocker 暗号化を有効にします。
Enable-ASBitLocker -VolumeType <BootVolume | ClusterSharedVolume> -<Local | Cluster> [-MountPoint <path>]
| パラメーター | 必須 | Description |
|---|---|---|
-VolumeType |
はい | 暗号化するボリュームの種類。 有効な値: BootVolume、 ClusterSharedVolume。 |
-Local |
いいえ | ローカル ノードが所有するボリュームを暗号化します。 これが既定のスコープです。 |
-Cluster |
いいえ | クラスター内のすべてのノードにわたってボリュームを暗号化します。 CredSSP 認証が必要です。 |
-MountPoint |
いいえ | マウント ポイント パス (たとえば、 C:\ClusterStorage\Volume1) によって特定の CSV をターゲットにします。
-Localスコープでのみ使用できます。 省略すると、ローカル ノードが所有するすべての CSV が暗号化されます。 |
Disable-ASBitLocker
指定したボリュームの種類の BitLocker 暗号化を無効にします。
Disable-ASBitLocker -VolumeType <BootVolume | ClusterSharedVolume> -<Local | Cluster> [-MountPoint <path>]
| パラメーター | 必須 | Description |
|---|---|---|
-VolumeType |
はい | 復号化するボリュームの種類。 有効な値: BootVolume、 ClusterSharedVolume。 |
-Local |
いいえ | ローカル ノードが所有するボリュームを復号化します。 これが既定のスコープです。 |
-Cluster |
いいえ | クラスター内のすべてのノードにわたってボリュームの暗号化を解除します。 CredSSP 認証が必要です。 |
-MountPoint |
いいえ | マウント ポイント パス (たとえば、 C:\ClusterStorage\Volume1) によって特定の CSV をターゲットにします。
-Localスコープでのみ使用できます。 省略すると、ローカル ノードが所有するすべての CSV が復号化されます。 |
BitLocker を使用したボリューム暗号化の暗号化設定を表示する
暗号化設定を表示するには、次の手順に従います。
Azure ローカル コンピューターに接続します。
ローカル管理者の資格情報を使用して、次の PowerShell コマンドレットを実行します。
Get-ASBitLocker -VolumeType BootVolume -Localクラスター共有ボリュームの暗号化状態を表示するには:
Get-ASBitLocker -VolumeType ClusterSharedVolume -Localクラスター内のすべてのノードの暗号化状態を表示するには (CredSSP または RDP が必要です)。
Get-ASBitLocker -VolumeType ClusterSharedVolume -PerNode
BitLocker でボリューム暗号化を有効にする
重要
- ボリュームの種類
BootVolumeでボリューム暗号化を有効にするには、TPM 2.0 が必要です。 - 開始する前に、ターゲット ノードが所有するすべての CSV が オンライン 状態である必要があります。
CSV 暗号化中の動作
ClusterSharedVolumeで BitLocker を有効にすると、ボリュームは次のライフサイクルを経ます。
| Phase | ボリュームの状態 | ボリュームにアクセスできますか? | VM への影響 |
|---|---|---|---|
| 1. メンテナンス モード | CSV は Suspend-ClusterResource経由で中断されます。 |
いいえ : ボリュームへの I/O が一時停止されています。 | この CSV 上に仮想ディスクがあるワークロード VM は 一時停止されています。 |
| 2. 暗号化が開始されました | BitLocker 暗号化が開始されます。 キー保護機能が作成されます。 | いいえ — ボリュームはメンテナンス モードのままです。 | VM は一時停止したままです。 |
| 3. 履歴書 | CSV は、 Resume-ClusterResource経由でオンラインに戻されます。 |
はい — ボリュームに再びアクセスできます。 | VM は再開されます。 |
| 4. リダイレクトされた I/O | バックグラウンドで暗号化が完了すると、CSV は リダイレクトされた I/O モードになります。 所有者以外のノードからのすべての I/O は、コーディネーター (所有者) ノードを経由してルーティングされます。 | はい — ボリュームは完全にアクセス可能です。 | 仮想マシンが実行中です。 暗号化が完了するまで、所有者以外のノードでは I/O パフォーマンスが低下する可能性があります。 |
| 5. ダイレクト I/O | 暗号化が完了すると、CSV は通常の ダイレクト I/O モードに戻ります。 | はい | 影響はありません。 |
メンテナンス期間を計画します。 メンテナンス フェーズ (フェーズ 1 ~ 2) の期間は、ボリューム のサイズとシステムの負荷によって異なります。 この間、ワークロード VM は一時停止され、ボリュームにアクセスできなくなります。 計画メンテナンス期間中にこの操作を実行します。
注
キー保護機能: 暗号化中に、次の 2 つのキー保護機能が自動的に作成されます。
- 回復パスワード — ディザスター リカバリーのために Active Directory (ドメイン参加済みデプロイの種類) と Azure Key Vault (非ドメイン参加済みデプロイの種類) にバックアップされます。
-
外部キー — 所有者ノードの
C:\Windows\Clusterに格納され、フェールオーバー中の CSV の自動ロック解除に使用されます。
Azure Key Vault などの外部の場所に回復キーを保存するには、「 BitLocker 回復キーを取得する」を参照してください。
Warning
暗号化に失敗した場合、システムは、再開する前に BitLocker を無効にし、ボリュームを完全に復号化しようとします。 クリーンアップも失敗した場合、CSV は メンテナンス モード のままになり、手動で調査する必要があります。 詳細については、 C:\MASLogs\ASEncryptionLogs の暗号化ログを確認してください。
BitLocker でボリューム暗号化を有効にするには、次の手順に従います。
Azure ローカル コンピューターに接続します。
ローカル管理者の資格情報を使用して、次の PowerShell コマンドレットを実行します。
ローカル ノード上のブート ボリュームを暗号化するには:
Enable-ASBitLocker -VolumeType BootVolume -Localローカル ノードが所有するすべてのクラスター共有ボリュームを暗号化するには:
Enable-ASBitLocker -VolumeType ClusterSharedVolume -Localマウント ポイントで特定の CSV を暗号化するには:
Enable-ASBitLocker -VolumeType ClusterSharedVolume -Local -MountPoint "C:\ClusterStorage\Volume1"クラスター全体のすべての CSV を暗号化するには (CredSSP が必要です)。
Enable-ASBitLocker -VolumeType ClusterSharedVolume -Cluster
BitLocker を使用してボリューム暗号化を無効にする
BitLocker の無効化は、有効にするのと同じメンテナンス モードのライフサイクルに従います。プロセスは CSV を中断し、復号化を開始してから、CSV を再開します。 暗号化解除はバックグラウンドで続行され、リダイレクトされた I/O モードでボリュームにアクセスできます。
BitLocker を使用してボリューム暗号化を無効にするには、次の手順に従います。
Azure ローカル コンピューターに接続します。
ローカル管理者の資格情報を使用して、次の PowerShell コマンドレットを実行します。
ローカル ノード上のブート ボリュームを復号化するには:
Disable-ASBitLocker -VolumeType BootVolume -Localローカル ノードが所有するすべてのクラスター共有ボリュームを復号化するには:
Disable-ASBitLocker -VolumeType ClusterSharedVolume -Localマウント ポイントで特定の CSV を復号化するには:
Disable-ASBitLocker -VolumeType ClusterSharedVolume -Local -MountPoint "C:\ClusterStorage\Volume1"クラスター全体のすべての CSV を復号化するには (CredSSP が必要です)。
Disable-ASBitLocker -VolumeType ClusterSharedVolume -Cluster
BitLocker 回復キーを取得する
注
BitLocker キーは、ローカル Active Directory からいつでも取得できます。 クラスターがダウンしていて、キーがない場合は、クラスター上の暗号化されたデータにアクセスできない可能性があります。 BitLocker 回復キーを保存するには、Azure Key Vault などのセキュリティで保護された外部の場所にエクスポートして格納することをお勧めします。
クラスターの回復キーをエクスポートするには、次の手順に従います。
ローカル管理者として Azure ローカル インスタンスに接続します。 ローカル コンソール セッション、ローカル リモート デスクトップ プロトコル (RDP) セッション、または CredSSP 認証を使用したリモート PowerShell セッションで、次のコマンドを実行します。
回復キー情報を取得するには、PowerShell で次のコマンドを実行します。
Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey出力例を次に示します。
PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey ComputerName PasswordId RecoveryKey ------- ---------- ----------- NODE01 {Password1} Key1 NODE02 {Password2} Key2 NODE03 {Password3} Key3 NODE04 {Password4} Key4
次のステップ
BitLocker とクラスター共有ボリュームの統合の詳細については、次を参照してください。