Dit artikel bevat antwoorden op veelgestelde vragen (FAQ) over Azure Disk Encryption voor Windows-VM's. Zie het overzicht van Azure Disk Encryption voor meer informatie over deze service.
Wat is Azure Disk Encryption voor Windows-VM's?
Azure Disk Encryption voor Windows-VM's maakt gebruik van de BitLocker-functie van Windows om volledige schijfversleuteling van de besturingssysteemschijf en gegevensschijven te bieden. Daarnaast biedt het versleuteling van de tijdelijke schijf wanneer de parameter VolumeType All is. De inhoud stroomt versleuteld van de VIRTUELE machine naar de back-end van Storage. Zo biedt u end-to-end-versleuteling met een door de klant beheerde sleutel.
Waar is Azure Disk Encryption in algemene beschikbaarheid (GA)?
Azure Disk Encryption is algemeen beschikbaar in alle openbare Azure-regio's.
Welke gebruikerservaringen zijn beschikbaar met Azure Disk Encryption?
Azure Disk Encryption GA ondersteunt Azure Resource Manager-sjablonen, Azure PowerShell en Azure CLI. De verschillende gebruikerservaringen bieden u flexibiliteit. U hebt drie verschillende opties voor het inschakelen van schijfversleuteling voor uw VM's. Zie Azure Disk Encryption-scenario's voor Windows voor meer informatie over de gebruikerservaring en stapsgewijze richtlijnen die beschikbaar zijn in Azure Disk Encryption.
Hoeveel kost Azure Disk Encryption?
Er worden geen kosten in rekening gebracht voor het versleutelen van VM-schijven met Azure Disk Encryption, maar er zijn kosten verbonden aan het gebruik van Azure Key Vault. Zie de pagina met prijzen voor Key Vault voor meer informatie over azure Key Vault-kosten.
Hoe kan ik Azure Disk Encryption gaan gebruiken?
Lees het overzicht van Azure Disk Encryption om aan de slag te gaan.
Welke VM-grootten en besturingssystemen ondersteunen Azure Disk Encryption?
In het overzichtsartikel over Azure Disk Encryption worden de VM-grootten en VM-besturingssystemen vermeld die Ondersteuning bieden voor Azure Disk Encryption.
Kan ik zowel opstart- als gegevensvolumes versleutelen met Azure Disk Encryption?
U kunt zowel opstart- als gegevensvolumes versleutelen, maar u kunt de gegevens niet versleutelen zonder eerst het besturingssysteemvolume te versleutelen.
Kan ik een niet-gekoppeld volume versleutelen met Azure Disk Encryption?
Nee, Azure Disk Encryption versleutelt alleen gekoppelde volumes.
Wat is versleuteling aan de serverzijde van opslag?
Versleuteling aan de serverzijde versleutelt Azure Managed Disks in Azure Storage. Beheerde schijven worden standaard versleuteld met versleuteling aan de serverzijde met een door het platform beheerde sleutel (vanaf 10 juni 2017). U kunt versleuteling van beheerde schijven beheren met uw eigen sleutels door een door de klant beheerde sleutel op te geven. Zie Versleuteling aan de serverzijde van beheerde Azure-schijven voor meer informatie.
Hoe verschilt Azure Disk Encryption van versleuteling aan de serverzijde met door de klant beheerde sleutel en wanneer moet ik elke oplossing gebruiken?
Azure Disk Encryption biedt end-to-end-versleuteling voor de besturingssysteemschijf, gegevensschijven en de tijdelijke schijf met een door de klant beheerde sleutel.
- Als uw vereisten omvatten het versleutelen van alle bovenstaande en end-to-end-versleuteling, gebruikt u Azure Disk Encryption.
- Als uw vereisten bestaan uit het versleutelen van alleen data-at-rest met door de klant beheerde sleutel, gebruikt u versleuteling aan de serverzijde met door de klant beheerde sleutels. U kunt een schijf met zowel Azure Disk Encryption als Storage-versleuteling aan de serverzijde niet versleutelen met door de klant beheerde sleutels.
- Als u een scenario gebruikt dat wordt beschreven in Beperkingen, kunt u versleuteling aan de serverzijde overwegen met door de klant beheerde sleutels.
- Als u met het beleid van uw organisatie inactieve inhoud kunt versleutelen met een door Azure beheerde sleutel, is er geen actie nodig. De inhoud wordt standaard versleuteld. Voor beheerde schijven wordt de inhoud in de opslag standaard versleuteld met versleuteling aan de serverzijde met een door het platform beheerde sleutel. De sleutel wordt beheerd door de Azure Storage-service.
Hoe kan ik geheimen of versleutelingssleutels draaien?
Als u geheimen wilt draaien, roept u dezelfde opdracht aan die u oorspronkelijk hebt gebruikt om schijfversleuteling in te schakelen, waarbij u een andere Sleutelkluis opgeeft. Als u de sleutelversleutelingssleutel wilt draaien, roept u dezelfde opdracht aan die u oorspronkelijk hebt gebruikt om schijfversleuteling in te schakelen, waarbij u de nieuwe sleutelversleuteling opgeeft.
Waarschuwing
- Als u Azure Disk Encryption eerder hebt gebruikt met de Microsoft Entra-app door Microsoft Entra-referenties op te geven om deze VIRTUELE machine te versleutelen, moet u deze optie blijven gebruiken. Het gebruik van Azure Disk Encryption zonder Microsoft Entra-id op een virtuele machine die is versleuteld met Behulp van Azure Disk Encryption met Microsoft Entra-id, is nog geen ondersteund scenario.
Hoe kan ik een sleutelversleutelingssleutel (KEK) toevoegen of verwijderen als ik er oorspronkelijk geen heb gebruikt?
Als u een sleutelversleutelingssleutel wilt toevoegen, roept u de opdracht Enable opnieuw aan en geeft u de parameter voor de sleutelversleutelingssleutel door. Als u een sleutelversleutelingssleutel wilt verwijderen, roept u de opdracht Inschakelen opnieuw aan zonder de parameter voor de sleutelversleutelingssleutel.
Welke grootte moet ik gebruiken voor mijn sleutelversleutelingssleutel (KEK)?
Windows Server 2022 en Windows 11 bevatten een nieuwere versie van BitLocker en werkt momenteel niet met RSA 2048-bits sleutelversleutelingssleutels. Gebruik totdat dit is opgelost een RSA 3072- of RSA 4096-bits sleutels, zoals beschreven in ondersteunde besturingssystemen.
Voor eerdere versies van Windows kunt u in plaats daarvan RSA 2048-sleutelversleutelingssleutels gebruiken.
Kunt u met Azure Disk Encryption uw eigen sleutel (BYOK) gebruiken?
Ja, u kunt uw eigen sleutelversleutelingssleutels opgeven. Deze sleutels worden beveiligd in Azure Key Vault. Dit is het sleutelarchief voor Azure Disk Encryption. Zie Een sleutelkluis voor Azure Disk Encryption maken en configureren voor meer informatie over de ondersteuningsscenario's voor sleutelversleutelingssleutels.
Kan ik een door Azure gemaakte sleutelversleutelingssleutel gebruiken?
Ja, u kunt Azure Key Vault gebruiken om een sleutelversleutelingssleutel te genereren voor azure-schijfversleuteling. Deze sleutels worden beveiligd in Azure Key Vault. Dit is het sleutelarchief voor Azure Disk Encryption. Zie Een sleutelkluis maken en configureren voor Azure Disk Encryption voor meer informatie over de sleutelversleutelingssleutel.
Kan ik een on-premises sleutelbeheerservice of HSM gebruiken om de versleutelingssleutels te beveiligen?
U kunt de on-premises sleutelbeheerservice of HSM niet gebruiken om de versleutelingssleutels te beveiligen met Azure Disk Encryption. U kunt de Azure Key Vault-service alleen gebruiken om de versleutelingssleutels te beveiligen. Zie Voor meer informatie over de ondersteuningsscenario's voor sleutelversleutelingssleutels een sleutelkluis maken en configureren voor Azure Disk Encryption.
Wat zijn de vereisten voor het configureren van Azure Disk Encryption?
Er zijn vereisten voor Azure Disk Encryption. Zie het artikel Een sleutelkluis maken en configureren voor Azure Disk Encryption om een nieuwe sleutelkluis te maken of stel een bestaande sleutelkluis in voor toegang tot schijfversleuteling om versleuteling in te schakelen en geheimen en sleutels te beveiligen. Zie Voor meer informatie over de ondersteuningsscenario's voor sleutelversleutelingssleutels een sleutelkluis maken en configureren voor Azure Disk Encryption.
Wat zijn de vereisten voor het configureren van Azure Disk Encryption met een Microsoft Entra-app (vorige release)?
Er zijn vereisten voor Azure Disk Encryption. Zie azure Disk Encryption met Microsoft Entra ID-inhoud om een Microsoft Entra-toepassing te maken, een nieuwe sleutelkluis te maken of een bestaande sleutelkluis in te stellen voor toegang tot schijfversleuteling om versleuteling in te schakelen en geheimen en sleutels te beveiligen. Zie Voor meer informatie over de ondersteuningsscenario's voor sleutelversleutelingssleutels een sleutelkluis maken en configureren voor Azure Disk Encryption met Microsoft Entra-id.
Wordt Azure Disk Encryption nog steeds ondersteund met behulp van een Microsoft Entra-app (vorige release) ?
Ja. Schijfversleuteling met behulp van een Microsoft Entra-app wordt nog steeds ondersteund. Bij het versleutelen van nieuwe VM's is het echter raadzaam om de nieuwe methode te gebruiken in plaats van te versleutelen met een Microsoft Entra-app.
Kan ik VM's die zijn versleuteld met een Microsoft Entra-app migreren naar versleuteling zonder een Microsoft Entra-app?
Er is momenteel geen directe migratiepad voor machines die zijn versleuteld met een Microsoft Entra-app voor versleuteling zonder een Microsoft Entra-app. Daarnaast is er geen direct pad van versleuteling zonder een Microsoft Entra-app naar versleuteling met een AD-app.
Welke versie van Azure PowerShell ondersteunt Azure Disk Encryption?
Gebruik de nieuwste versie van de Azure PowerShell SDK om Azure Disk Encryption te configureren. Download de nieuwste versie van Azure PowerShell. Azure Disk Encryption wordt niet ondersteund door Azure SDK-versie 1.1.0.
Wat is de schijf 'Bek Volume' of '/mnt/azure_bek_disk'?
Het 'Bek-volume' is een lokaal gegevensvolume waarmee de versleutelingssleutels voor versleutelde Azure-VM's veilig worden opgeslagen.
Notitie
Verwijder of bewerk geen inhoud op deze schijf. Ontkoppel de schijf niet omdat de aanwezigheid van de versleutelingssleutel nodig is voor versleutelingsbewerkingen op de IaaS-VM.
Welke versleutelingsmethode gebruikt Azure Disk Encryption?
Azure Disk Encryption selecteert de versleutelingsmethode in BitLocker op basis van de versie van Windows als volgt:
| Windows-versies | Versie | Versleutelingsmethode |
|---|---|---|
| Windows Server 2012, Windows 10 of hoger | >=1511 | XTS-AES 256-bits |
| Windows Server 2012, Windows 8, 8.1, 10 | < 1511 | AES 256-bits * |
| Windows Server 2008R2 | AES 256-bits met diffuser |
* AES 256-bits met Diffuser wordt niet ondersteund in Windows 2012 en hoger.
Als u de versie van het Windows-besturingssysteem wilt bepalen, voert u het hulpprogramma winver uit op uw virtuele machine.
Kan ik een back-up maken van een versleutelde VM en deze herstellen?
Azure Backup biedt een mechanisme voor het maken en herstellen van versleutelde VM's binnen hetzelfde abonnement en dezelfde regio. Zie Back-up maken en terugzetten van versleutelde virtuele machines met Azure Backup voor instructies. Het herstellen van een versleutelde VM naar een andere regio wordt momenteel niet ondersteund.
Waar kan ik vragen stellen of feedback geven?
U kunt vragen stellen of feedback geven op de microsoft Q&A-vragenpagina voor Azure Disk Encryption.
Volgende stappen
In dit document hebt u meer geleerd over de meest voorkomende vragen met betrekking tot Azure Disk Encryption. Zie de volgende artikelen voor meer informatie over deze service: