Windows 仮想マシン用の Azure Disk Encryption に関する FAQ

Windows VM 用の Azure Disk Encryption では、Windows の BitLocker 機能を使用して、OS ディスク とデータ ディスクの完全なディスク暗号化を提供します。 また、VolumeType パラメーターが ALL の場合、一時的なディスクの暗号化を行うことができます。 コンテンツは、暗号化された VM からストレージ バックエンドにフローします。 これにより、カスタマー マネージド キーを使用してエンド ツー エンドの暗号化を行うことができます。

「サポートされている VM とオペレーティング システム」を参照してください。

Azure Disk Encryption は、すべての Azure パブリック リージョンで一般公開されています。

Azure Disk Encryption GA は、Azure Resource Manager テンプレート、Azure PowerShell、および Azure CLI をサポートしています。 異なるユーザー エクスペリエンスによって柔軟性が得られます。 VM のディスク暗号化を有効にするオプションは 3 つあります。 Azure Disk Encryption で利用可能なユーザー エクスペリエンスとステップ バイ ステップ ガイダンスの詳細については、「Azure Disk Encryption scenarios for Windows」 (Windows 用の Azure Disk Encryption シナリオ) を参照してください。

Azure Disk Encryption を使用して VM ディスクを暗号化するための料金は発生しませんが、Azure Key Vault の使用に関連する料金が発生します。 Azure Key Vault のコストの詳細については、「Key Vault の価格」ページを参照してください。

最初に、Azure Disk Encryption の概要をお読みください。

Azure Disk Encryption の概要の記事には、Azure Disk Encryption をサポートする VM のサイズと VM オペレーティング システムの一覧が記載されています。

ブート ボリュームとデータ ボリュームの両方を暗号化できます。ただし、先に OS ボリュームを暗号化しなければ、データは暗号化できません。

いいえ、Azure Disk Encryption で暗号化されるのは、マウントされたボリュームのみになります。

Storage のサーバー側の暗号化では、Azure Storage で Azure Managed Disks が暗号化されます。 マネージド ディスクは既定で、プラットフォーム マネージド キーを使用したサーバー側の暗号化 (2017 年6 月 10 日以降) で暗号化されます。 カスタマー マネージド キーを指定することによって、独自のキーを使用してマネージド ディスクの暗号化を管理できます。 詳細については、「Azure Managed Disks のサーバー側暗号化」を参照してください。

Azure Disk Encryption は、カスタマー マネージド キーを使用して、OS ディスク、データ ディスク、および一時的なディスクをエンド ツー エンドで暗号化します。

• 上記とエンド ツー エンドの暗号化をすべて暗号化する必要がある場合は、Azure Disk Encryption を使用します。
• カスタマー マネージド キーを使用して保存データのみを暗号化することが要件に含まれている場合は、カスタマー マネージド キーを使用したサーバー側の暗号化を使用します。 カスタマー マネージド キーを使って、Azure Disk Encryption と Storage のサーバー側の暗号化の両方で、ディスクを暗号化することはできません。
• 制限事項で説明されているシナリオを使っている場合は、カスタマー マネージド キーを使ったサーバー側の暗号化を検討してください。
• 組織のポリシーにより、保存されているコンテンツを Azure マネージド キーを使用して暗号化できる場合、操作は必要ありません。コンテンツは既定で暗号化されます。 マネージド ディスクの場合、ストレージ内のコンテンツは、プラットフォーム マネージド キーを使用したサーバー側の暗号化で、既定で暗号化されます。 キーは Azure Storage サービスによって管理されます。

シークレットを切り替えるには、別のキー コンテナーを指定して、最初に使用したのと同じコマンドを呼び出してディスクの暗号化を有効にするだけです。 キーの暗号化キーを切り替えるには、新しいキーの暗号化を指定して、最初に使用したのと同じコマンドを呼び出してディスク暗号化を有効にします。

キー暗号化キーを追加するには、キー暗号化キーのパラメーターを渡して、有効化コマンドをもう一度呼び出します。 キー暗号化キーを削除するには、キー暗号化キーのパラメーターを指定せずに、有効化コマンドをもう一度呼び出します。

Windows Server 2022 と Windows 11 には、BitLocker の新しいバージョンが含まれており、現在、RSA 2048 ビット キー暗号化キーでは機能しません。 それが解決されるまでは、「サポートされるオペレーティング システム」で説明されているように、RSA 3072 または RSA 4096 ビット キーを使います。

以前のバージョンの Windows では、代わりに RSA 2048 キー暗号化キーを使用することができます。

はい。独自のキー暗号化キーを指定できます。 これらのキーは、Azure Disk Encryption のキー ストアである Azure Key Vault で保護されます。 キー暗号化キーのサポート シナリオの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。

はい。Azure Key Vault を使用して、Azure Disk Encryption で使用するキー暗号化キーを生成できます。 これらのキーは、Azure Disk Encryption のキー ストアである Azure Key Vault で保護されます。 キー暗号化キーの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。

Azure Disk Encryption では、オンプレミスのキー管理サービスまたは HSM を使用して暗号化キーを保護することはできません。 暗号化キーを保護するために使用できるのは、Azure Key Vault サービスのみです。 キー暗号化キーのサポート シナリオの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。

Azure Disk Encryption の前提条件があります。 新しいキー コンテナーを作成するか、既存のキー コンテナーを暗号化できるようにディスク暗号化アクセス用に設定して、シークレットとキーを保護するには、「Azure Disk Encryption 用のキー コンテナーの作成と構成」の記事を参照してください。 キー暗号化キーのサポート シナリオの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。

Azure Disk Encryption の前提条件があります。 Microsoft Entra アプリケーションを作成するか、新しいキー コンテナーを作成するか、既存のキー コンテナーをディスク暗号化アクセス用に設定してシークレットとキーの暗号化と保護を実行できるようにするには、「Microsoft Entra ID を使用した Azure Disk Encryption」を参照してください。 キー暗号化キーのサポート シナリオの詳細については、「Microsoft Entra ID を使用した Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。

はい。 Microsoft Entra アプリを使用したディスク暗号化は、まだサポートされています。 ただし、新しい VM を暗号化する場合は、Microsoft Entra アプリを使用して暗号化するのではなく、新しい方法を使用することをお勧めします。

現時点では、Microsoft Entra アプリで暗号化されたマシンを、Microsoft Entra アプリなしでの暗号化に直接移行するパスはありません。 また、Microsoft Entra アプリなしでの暗号化から AD アプリによる暗号化への直接的なパスはありません。

Azure Disk Encryption を構成するには、最新バージョンの Azure PowerShell SDK を使用してください。 Azure PowerShell の最新バージョンをダウンロードしてください。 Azure Disk Encryption は、Azure SDK Version 1.1.0 ではサポートされていません。

"Bek ボリューム" は、暗号化された Azure VM の暗号化キーを安全に格納するローカルのデータ ボリュームです。

Azure Disk Encryption は、次の BitLocker での暗号化方法を Windows のバージョンに基づき選択します。

* ディフューザー付き AES 256 ビットは、Windows 2012 以降ではサポートされていません。

Windows OS のバージョンを確認するには、お使いの仮想マシンで "winver" ツールを実行します。

Azure Backup には、暗号化された VM をバックアップし、同じサブスクリプションとリージョン内に復元するメカニズムが用意されています。 手順については、暗号化された仮想マシンの Azure Backup でのバックアップおよび復元に関するページをご覧ください。 暗号化された VM を別のリージョンに復元することは、現在はサポートされていません。

ご質問やフィードバックは、Azure Disk Encryption についての Microsoft Q&A 質問ページに投稿してください。

次のステップ

このドキュメントでは、Azure Disk Encryption に関して最もよく寄せられるご質問について説明しました。 このサービスの詳細については、以下の記事を参照してください。

• Azure Disk Encryption の概要
• Azure Security Center でディスクの暗号化を適用する
• 保存時の Azure データの暗号化