Delen via


Azure Disk Encryption voor Windows (Microsoft.Azure.Security.AzureDiskEncryption)

Overzicht

Azure Disk Encryption maakt gebruik van BitLocker om volledige schijfversleuteling te bieden op virtuele Azure-machines waarop Windows wordt uitgevoerd. Deze oplossing is geïntegreerd met Azure Key Vault voor het beheren van schijfversleutelingssleutels en -geheimen in uw key vault-abonnement.

Vereisten

Zie Azure Disk Encryption voor Windows-VM's voor een volledige lijst met vereisten, met name de volgende secties:

Extensieschema

Er zijn twee versies van het extensieschema voor Azure Disk Encryption (ADE):

  • v2.2 - Een nieuwer aanbevolen schema dat geen Microsoft Entra-eigenschappen gebruikt.
  • v1.1: een ouder schema waarvoor Microsoft Entra-eigenschappen zijn vereist.

Als u een doelschema wilt selecteren, moet de typeHandlerVersion eigenschap gelijk zijn aan de versie van het schema dat u wilt gebruiken.

Het v2.2-schema wordt aanbevolen voor alle nieuwe VM's en vereist geen Microsoft Entra-eigenschappen.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryption",
        "typeHandlerVersion": "2.2",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[keyVaultResourceID]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[kekVaultResourceID]",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Schema v1.1: met Microsoft Entra-id

Het 1.1-schema vereist aadClientID en aadClientSecret wel of AADClientCertificate wordt niet aanbevolen voor nieuwe VM's.

Met behulp van aadClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Met behulp van AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Eigenschapswaarden

Opmerking: alle waarden zijn hoofdlettergevoelig.

Naam Waarde/voorbeeld Gegevenstype
apiVersion 2019-07-01 datum
uitgever Microsoft.Azure.Security tekenreeks
type AzureDiskEncryption tekenreeks
typeHandlerVersion 2.2, 1.1 tekenreeks
(1.1 schema) AADClientID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx guid
(1.1 schema) AADClientSecret password tekenreeks
(1.1 schema) AADClientCertificate Vingerafdruk tekenreeks
EncryptionOperation EnableEncryption tekenreeks
(optioneel - standaard RSA-OAEP ) KeyEncryptionAlgorithm 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' tekenreeks
KeyVaultURL URL tekenreeks
KeyVaultResourceId URL tekenreeks
(optioneel) KeyEncryptionKeyURL URL tekenreeks
(optioneel) KekVaultResourceId URL tekenreeks
(optioneel) SequenceVersion uniqueidentifier tekenreeks
VolumeType Besturingssysteem, gegevens, alle tekenreeks

Sjabloonimplementatie

Zie Azure Quickstart Template encrypt-running-windows-vm-without-aad voor een voorbeeld van een sjabloonimplementatie op basis van schema v2.2.

Zie Azure Quickstart Template encrypt-running-windows-vm voor een voorbeeld van een sjabloonimplementatie op basis van schema v1.1.

Notitie

VolumeType Als de parameter is ingesteld op Alles, worden gegevensschijven alleen versleuteld als ze correct zijn geformatteerd.

Problemen met en ondersteuning oplossen

Problemen oplossen

Zie de handleiding voor het oplossen van problemen met Azure Disk Encryption.

Ondersteuning

Als u op elk gewenst moment in dit artikel meer hulp nodig hebt, kunt u contact opnemen met de Azure-experts op de MSDN Azure- en Stack Overflow-forums.

U kunt ook een ondersteuning voor Azure incident indienen. Ga naar ondersteuning voor Azure en selecteer Ondersteuning krijgen. Lees de veelgestelde vragen over Microsoft Azure-ondersteuning voor informatie over het gebruik van Azure-ondersteuning.

Volgende stappen