Usługa Azure Disk Encryption dla systemu Windows (Microsoft.Azure.Security.AzureDiskEncryption)

Omówienie

Usługa Azure Disk Encryption używa funkcji BitLocker do zapewnienia pełnego szyfrowania dysków na maszynach wirtualnych platformy Azure z systemem Windows. To rozwiązanie jest zintegrowane z usługą Azure Key Vault do zarządzania kluczami szyfrowania dysków i wpisami tajnymi w ramach subskrypcji magazynu kluczy.

Wymagania wstępne

Aby uzyskać pełną listę wymagań wstępnych, zobacz Azure Disk Encryption dla maszyn wirtualnych z systemem Windows, w szczególności w następujących sekcjach:

Schemat rozszerzenia

Istnieją dwie wersje schematu rozszerzenia dla usługi Azure Disk Encryption (ADE):

  • Wersja 2.2 — nowszy zalecany schemat, który nie używa właściwości usługi Azure Active Directory (Azure AD).
  • Wersja 1.1 — starszy schemat, który wymaga właściwości usługi Azure Active Directory (Azure AD).

Aby wybrać schemat docelowy, właściwość musi być ustawiona na wersję schematu, typeHandlerVersion której chcesz użyć.

Schemat w wersji 2.2 jest zalecany dla wszystkich nowych maszyn wirtualnych i nie wymaga właściwości usługi Azure Active Directory.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryption",
        "typeHandlerVersion": "2.2",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[keyVaultResourceID]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[kekVaultResourceID]",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Schemat w wersji 1.1: z Azure AD

Schemat 1.1 wymaga aadClientID i aadClientSecret nie AADClientCertificate jest zalecany dla nowych maszyn wirtualnych.

Za pomocą polecenia aadClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Za pomocą polecenia AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Wartości właściwości

Uwaga: wszystkie wartości są uwzględniane wielkości liter.

Nazwa Wartość / przykład Typ danych
apiVersion 2019-07-01 data
publisher Microsoft.Azure.Security ciąg
typ AzureDiskEncryption ciąg
typeHandlerVersion 2.2, 1.1 ciąg
(schemat 1.1) AADClientID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx guid
(schemat 1.1) AADClientSecret hasło ciąg
(schemat 1.1) AADClientCertificate Odcisk palca ciąg
EncryptionOperation EnableEncryption ciąg
(opcjonalnie — domyślne RSA-OAEP ) KeyEncryptionAlgorithm "RSA-OAEP", "RSA-OAEP-256", "RSA1_5" ciąg
KeyVaultURL url ciąg
KeyVaultResourceId url ciąg
(opcjonalnie) KeyEncryptionKeyURL url ciąg
(opcjonalnie) KekVaultResourceId url ciąg
(opcjonalnie) SequenceVersion uniqueidentifier ciąg
VolumeType System operacyjny, dane, wszystkie ciąg

Wdrażanie na podstawie szablonu

Przykład wdrożenia szablonu na podstawie schematu w wersji 2.2 można znaleźć w temacie Azure Quickstart Template encrypt-running-windows-vm-without-aad (Szablon szybkiego startu platformy Azure z systemem windows-vm-without-aad).

Przykład wdrożenia szablonu na podstawie schematu w wersji 1.1 można znaleźć w temacie Azure Quickstart Template encrypt-running-windows-vm (Szablon szybkiego startu platformy Azure z systemem windows-vm).

Uwaga

Ponadto jeśli VolumeType parametr ma wartość Wszystkie, dyski danych będą szyfrowane tylko wtedy, gdy są prawidłowo sformatowane.

Rozwiązywanie problemów i pomoc techniczna

Rozwiązywanie problemów

Aby uzyskać informacje na temat rozwiązywania problemów, zobacz Przewodnik rozwiązywania problemów z usługą Azure Disk Encryption.

Pomoc techniczna

Jeśli potrzebujesz więcej pomocy w dowolnym momencie tego artykułu, możesz skontaktować się z ekspertami platformy Azure na forach MSDN Azure i Stack Overflow.

Alternatywnie można zgłosić zdarzenie pomoc techniczna platformy Azure. Przejdź do pomoc techniczna platformy Azure i wybierz pozycję Uzyskaj pomoc techniczną. Aby uzyskać informacje na temat korzystania z pomocy technicznej platformy Azure, zapoznaj się z często zadawanymi pytaniami dotyczącymi pomocy technicznej platformy Microsoft Azure.

Następne kroki