Azure Stack HCI バージョン 23H2 で BitLocker 暗号化を管理する

  • [アーティクル]

適用対象: Azure Stack HCI バージョン 23H2

この記事では、BitLocker 暗号化を表示および有効にし、Azure Stack HCI システムで BitLocker 回復キーを取得する方法について説明します。

前提条件

開始する前に、デプロイ、登録、および Azure に接続されている Azure Stack HCI バージョン 23H2 システムにアクセスできることを確認してください。

Azure portalを使用して BitLocker の設定を表示する

Azure portalで BitLocker 設定を表示するには、MCSB イニシアチブが適用されていることを確認します。 詳細については、「 Microsoft Cloud Security Benchmark イニシアチブを適用する」を参照してください。

BitLocker には、OS ボリュームの暗号化とデータ ボリュームの暗号化という 2 種類の保護が用意されています。 BitLocker の設定は、Azure portalでのみ表示できます。 設定を管理するには、「 PowerShell を使用して BitLocker 設定を管理する」を参照してください。

Azure portalでのボリューム暗号化の [データ保護] ページを示すスクリーンショット。

PowerShell を使用して BitLocker 設定を管理する

Azure Stack HCI クラスターでボリューム暗号化設定を表示、有効化、無効化できます。

PowerShell コマンドレットのプロパティ

次のコマンドレットプロパティは、BitLocker モジュールを使用したボリューム暗号化用です: AzureStackBitLockerAgent

  •   Get-ASBitLocker -<Local | PerNode>

    コマンドレットを実行するスコープを定義する場所 LocalPerNode 定義します。

    • ローカル - 通常のリモート PowerShell セッションで実行でき、ローカル ノードの BitLocker ボリュームの詳細を提供します。
    • PerNode - CredSSP (リモート PowerShell を使用する場合) またはリモート デスクトップ セッション (RDP) が必要です。 ノードごとの BitLocker ボリュームの詳細を提供します。
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

BitLocker を使用したボリューム暗号化の暗号化設定を表示する

暗号化設定を表示するには、次の手順に従います。

  1. Azure Stack HCI ノードに接続します。

  2. ローカル管理者の資格情報を使用して、次の PowerShell コマンドレットを実行します。

    Get-ASBitLocker

BitLocker を使用したボリューム暗号化を有効、無効にする

BitLocker でボリューム暗号化を有効にするには、次の手順に従います。

  1. Azure Stack HCI ノードに接続します。

  2. ローカル管理者の資格情報を使用して、次の PowerShell コマンドレットを実行します。

    重要

    • ボリュームの種類 BootVolume で BitLocker を使用してボリューム暗号化を有効にするには、TPM 2.0 が必要です。

    • ボリュームの種類 ClusterSharedVolume (CSV) で BitLocker を使用したボリューム暗号化を有効にすると、ボリュームはリダイレクト モードになり、ワークロード VM は短時間一時停止されます。 この操作は中断を伴います。計画を立てる必要があります。 詳細については、「Windows Server 2012で BitLocker で暗号化されたクラスター化ディスクを構成する方法」を参照してください。

    Enable-ASBitLocker

BitLocker を使用したボリューム暗号化を無効にするには、次の手順に従います。

  1. Azure Stack HCI ノードに接続します。

  2. ローカル管理者の資格情報を使用して、次の PowerShell コマンドレットを実行します。

    Disable-ASBitLocker

BitLocker 回復キーを取得する

注意

BitLocker キーは、ローカル Active Directory からいつでも取得できます。 クラスターがダウンしていて、キーがない場合は、クラスター上の暗号化されたデータにアクセスできない可能性があります。 BitLocker 回復キーを保存するには、Azure Key Vault などの安全な外部の場所にエクスポートして保存することをお勧めします。

クラスターの回復キーをエクスポートするには、次の手順に従います。

  1. ローカル管理者として Azure Stack HCI クラスターに接続します。 ローカル コンソール セッションまたはローカル リモート デスクトップ プロトコル (RDP) セッション、または CredSSP 認証を使用したリモート PowerShell セッションで、次のコマンドを実行します。

  2. 回復キー情報を取得するには、PowerShell で次のコマンドを実行します。

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

    出力例を次に示します。

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

 ComputerName    PasswordId    RecoveryKey
 -------         ----------    -----------
 ASB88RR1OU19    {Password1}   Key1
 ASB88RR1OU20    {Password2}   Key2
 ASB88RR1OU21    {Password3}   Key3
 ASB88RR1OU22    {Password4}   Key4

次のステップ