Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące usługi Azure Disk Encryption dla maszyn wirtualnych z systemem Windows. Aby uzyskać więcej informacji na temat tej usługi, zobacz Omówienie usługi Azure Disk Encryption.
Co to jest usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Windows?
Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Windows używa funkcji BitLocker systemu Windows do zapewnienia pełnego szyfrowania dysku systemu operacyjnego i dysków danych. Ponadto zapewnia szyfrowanie dysku tymczasowego, gdy parametr VolumeType ma wartość Wszystkie. Zawartość przepływa z maszyny wirtualnej do zaplecza magazynu. W ten sposób zapewnienie kompleksowego szyfrowania za pomocą klucza zarządzanego przez klienta.
Zobacz Obsługiwane maszyny wirtualne i systemy operacyjne.
Gdzie jest usługa Azure Disk Encryption w ogólnej dostępności?
Usługa Azure Disk Encryption jest ogólnie dostępna we wszystkich regionach publicznych platformy Azure.
Jakie środowiska użytkownika są dostępne w usłudze Azure Disk Encryption?
Usługa Azure Disk Encryption ogólnie obsługuje szablony usługi Azure Resource Manager, program Azure PowerShell i interfejs wiersza polecenia platformy Azure. Różne środowiska użytkownika zapewniają elastyczność. Dostępne są trzy różne opcje włączania szyfrowania dysków dla maszyn wirtualnych. Aby uzyskać więcej informacji na temat środowiska użytkownika i szczegółowych wskazówek dostępnych w usłudze Azure Disk Encryption, zobacz Scenariusze usługi Azure Disk Encryption dla systemu Windows.
Ile kosztuje usługa Azure Disk Encryption?
Za szyfrowanie dysków maszyn wirtualnych za pomocą usługi Azure Disk Encryption nie są naliczane opłaty, ale są naliczane opłaty związane z użyciem usługi Azure Key Vault. Aby uzyskać więcej informacji na temat kosztów usługi Azure Key Vault, zobacz stronę cennika usługi Key Vault.
Jak rozpocząć korzystanie z usługi Azure Disk Encryption?
Aby rozpocząć, przeczytaj omówienie usługi Azure Disk Encryption.
Jakie rozmiary maszyn wirtualnych i systemy operacyjne obsługują usługę Azure Disk Encryption?
Artykuł Omówienie usługi Azure Disk Encryption zawiera listę rozmiarów maszyn wirtualnych i systemów operacyjnych maszyn wirtualnych, które obsługują usługę Azure Disk Encryption.
Czy mogę zaszyfrować woluminy rozruchowe i woluminy danych za pomocą usługi Azure Disk Encryption?
Można szyfrować zarówno woluminy rozruchowe, jak i woluminy danych, ale nie można zaszyfrować danych bez uprzedniego szyfrowania woluminu systemu operacyjnego.
Czy mogę zaszyfrować niezainstalowany wolumin za pomocą usługi Azure Disk Encryption?
Nie, usługa Azure Disk Encryption szyfruje tylko zainstalowane woluminy.
Co to jest szyfrowanie po stronie serwera usługi Storage?
Szyfrowanie po stronie serwera magazynu szyfruje dyski zarządzane platformy Azure w usłudze Azure Storage. Dyski zarządzane są domyślnie szyfrowane przy użyciu szyfrowania po stronie serwera przy użyciu klucza zarządzanego przez platformę (od 10 czerwca 2017 r.). Szyfrowanie dysków zarządzanych można zarządzać własnymi kluczami, określając klucz zarządzany przez klienta. Aby uzyskać więcej informacji, zobacz Szyfrowanie po stronie serwera dysków zarządzanych platformy Azure.
Jak usługa Azure Disk Encryption różni się od szyfrowania po stronie serwera magazynu przy użyciu klucza zarządzanego przez klienta i kiedy należy używać każdego rozwiązania?
Usługa Azure Disk Encryption zapewnia kompleksowe szyfrowanie dysku systemu operacyjnego, dysków danych i dysku tymczasowego przy użyciu klucza zarządzanego przez klienta.
- Jeśli wymagania obejmują szyfrowanie wszystkich powyższych i kompleksowego szyfrowania, użyj usługi Azure Disk Encryption.
- Jeśli wymagania obejmują szyfrowanie tylko danych magazynowanych przy użyciu klucza zarządzanego przez klienta, użyj szyfrowania po stronie serwera z kluczami zarządzanymi przez klienta. Nie można zaszyfrować dysku przy użyciu szyfrowania po stronie serwera i usługi Azure Disk Encryption przy użyciu kluczy zarządzanych przez klienta.
- Jeśli używasz scenariusza wywoływanego w obszarze Ograniczenia, rozważ szyfrowanie po stronie serwera z kluczami zarządzanymi przez klienta.
- Jeśli zasady organizacji umożliwiają szyfrowanie zawartości magazynowanej przy użyciu klucza zarządzanego przez platformę Azure, nie jest wymagana żadna akcja — zawartość jest domyślnie szyfrowana. W przypadku dysków zarządzanych zawartość wewnątrz magazynu jest domyślnie szyfrowana przy użyciu szyfrowania po stronie serwera z kluczem zarządzanym przez platformę. Klucz jest zarządzany przez usługę Azure Storage.
Jak mogę obracać wpisy tajne lub klucze szyfrowania?
Aby obrócić wpisy tajne, wystarczy wywołać to samo polecenie, które zostało pierwotnie użyte do włączenia szyfrowania dysków, określając inną usługę Key Vault. Aby obrócić klucz szyfrowania klucza, wywołaj to samo polecenie, które zostało pierwotnie użyte do włączenia szyfrowania dysków, określając nowe szyfrowanie klucza.
Ostrzeżenie
- Jeśli wcześniej użyto usługi Azure Disk Encryption z aplikacją Microsoft Entra, określając poświadczenia firmy Microsoft Entra w celu zaszyfrowania tej maszyny wirtualnej, musisz nadal używać tej opcji. Używanie usługi Azure Disk Encryption bez identyfikatora Entra firmy Microsoft na maszynie wirtualnej, która została zaszyfrowana przy użyciu usługi Azure Disk Encryption z identyfikatorem Entra firmy Microsoft, nie jest jeszcze obsługiwanym scenariuszem.
Jak mogę dodać lub usunąć klucz szyfrowania klucza (KEK), jeśli pierwotnie go nie użyto?
Aby dodać klucz szyfrowania klucza, wywołaj ponownie polecenie enable przekazując parametr klucza szyfrowania klucza. Aby usunąć klucz szyfrowania klucza, wywołaj ponownie polecenie enable bez parametru klucza szyfrowania klucza.
Jakiego rozmiaru należy użyć dla klucza szyfrowania klucza (KEK)?
Systemy Windows Server 2022 i Windows 11 zawierają nowszą wersję funkcji BitLocker i obecnie nie działają z kluczami szyfrowania klucza RSA 2048 bit. Do momentu rozwiązania użyj kluczy RSA 3072 lub RSA 4096-bitowych, zgodnie z opisem w temacie Obsługiwane systemy operacyjne.
W przypadku starszej wersji systemu Windows można zamiast tego użyć kluczy szyfrowania kluczy RSA 2048.
Czy usługa Azure Disk Encryption umożliwia korzystanie z własnego klucza (BYOK)?
Tak, możesz podać własne klucze szyfrowania kluczy. Te klucze są chronione w usłudze Azure Key Vault, czyli magazynie kluczy dla usługi Azure Disk Encryption. Aby uzyskać więcej informacji na temat scenariuszy obsługi kluczy szyfrowania kluczy, zobacz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption.
Czy mogę użyć klucza szyfrowania klucza utworzonego na platformie Azure?
Tak, możesz użyć usługi Azure Key Vault do wygenerowania klucza szyfrowania klucza na potrzeby użycia szyfrowania dysków platformy Azure. Te klucze są chronione w usłudze Azure Key Vault, czyli magazynie kluczy dla usługi Azure Disk Encryption. Aby uzyskać więcej informacji na temat klucza szyfrowania kluczy, zobacz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption.
Czy mogę użyć lokalnej usługi zarządzania kluczami lub modułu HSM do ochrony kluczy szyfrowania?
Nie można użyć lokalnej usługi zarządzania kluczami ani modułu HSM, aby zabezpieczyć klucze szyfrowania za pomocą usługi Azure Disk Encryption. Za pomocą usługi Azure Key Vault można chronić klucze szyfrowania tylko za pomocą usługi Azure Key Vault. Aby uzyskać więcej informacji na temat scenariuszy obsługi klucza szyfrowania kluczy, zobacz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption.
Jakie są wymagania wstępne dotyczące konfigurowania usługi Azure Disk Encryption?
Istnieją wymagania wstępne dotyczące usługi Azure Disk Encryption. Zobacz artykuł Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption, aby utworzyć nowy magazyn kluczy lub skonfigurować istniejący magazyn kluczy na potrzeby dostępu do szyfrowania dysków w celu włączenia szyfrowania oraz ochrony wpisów tajnych i kluczy. Aby uzyskać więcej informacji na temat scenariuszy obsługi klucza szyfrowania kluczy, zobacz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption.
Jakie są wymagania wstępne dotyczące konfigurowania usługi Azure Disk Encryption przy użyciu aplikacji Microsoft Entra (poprzedniej wersji)?
Istnieją wymagania wstępne dotyczące usługi Azure Disk Encryption. Zobacz zawartość Azure Disk Encryption z identyfikatorem Entra firmy Microsoft, aby utworzyć aplikację Firmy Microsoft Entra, utworzyć nowy magazyn kluczy lub skonfigurować istniejący magazyn kluczy na potrzeby szyfrowania dysków w celu włączenia szyfrowania oraz ochrony wpisów tajnych i kluczy. Aby uzyskać więcej informacji na temat scenariuszy obsługi klucza szyfrowania kluczy, zobacz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption przy użyciu identyfikatora Entra firmy Microsoft.
Czy usługa Azure Disk Encryption używa aplikacji Microsoft Entra (poprzedniej wersji) jest nadal obsługiwana?
Tak. Szyfrowanie dysków przy użyciu aplikacji Microsoft Entra jest nadal obsługiwane. Jednak podczas szyfrowania nowych maszyn wirtualnych zaleca się użycie nowej metody zamiast szyfrowania za pomocą aplikacji Microsoft Entra.
Czy mogę migrować maszyny wirtualne zaszyfrowane za pomocą aplikacji Microsoft Entra do szyfrowania bez aplikacji Microsoft Entra?
Obecnie nie istnieje bezpośrednia ścieżka migracji maszyn, które zostały zaszyfrowane za pomocą aplikacji Microsoft Entra do szyfrowania bez aplikacji Microsoft Entra. Ponadto nie istnieje bezpośrednia ścieżka z szyfrowania bez aplikacji Microsoft Entra do szyfrowania za pomocą aplikacji usługi AD.
Jaka wersja programu Azure PowerShell obsługuje usługę Azure Disk Encryption?
Użyj najnowszej wersji zestawu Azure PowerShell SDK, aby skonfigurować usługę Azure Disk Encryption. Pobierz najnowszą wersję programu Azure PowerShell. Usługa Azure Disk Encryption nie jest obsługiwana przez zestaw Azure SDK w wersji 1.1.0.
Jaki jest dysk "Wolumin bek" lub "/mnt/azure_bek_disk"?
"Wolumin bek" to lokalny wolumin danych, który bezpiecznie przechowuje klucze szyfrowania dla zaszyfrowanych maszyn wirtualnych platformy Azure.
Uwaga
Nie usuwaj ani nie edytuj żadnej zawartości na tym dysku. Nie odinstaluj dysku, ponieważ obecność klucza szyfrowania jest wymagana w przypadku operacji szyfrowania na maszynie wirtualnej IaaS.
Jakiej metody szyfrowania używa usługa Azure Disk Encryption?
Usługa Azure Disk Encryption wybiera metodę szyfrowania w funkcji BitLocker na podstawie wersji systemu Windows w następujący sposób:
| Wersje systemu Windows | Wersja | Metoda szyfrowania |
|---|---|---|
| Windows Server 2012, Windows 10 lub nowszy | >=1511 | XTS-AES 256-bitowy |
| Windows Server 2012, Windows 8, 8.1, 10 | < 1511 | AES 256-bitowy * |
| Windows Server 2008R2 | AES 256 bit z dyfuzorem |
* 256-bitowa AES z dyfuzorem nie jest obsługiwana w systemie Windows 2012 i nowszych wersjach.
Aby określić wersję systemu operacyjnego Windows, uruchom narzędzie "winver" na maszynie wirtualnej.
Czy mogę utworzyć kopię zapasową zaszyfrowanej maszyny wirtualnej i przywrócić jej kopię zapasową?
Usługa Azure Backup udostępnia mechanizm tworzenia kopii zapasowych i przywracania zaszyfrowanych maszyn wirtualnych w ramach tej samej subskrypcji i regionu. Aby uzyskać instrukcje, zobacz Tworzenie kopii zapasowych i przywracanie zaszyfrowanych maszyn wirtualnych za pomocą usługi Azure Backup. Przywracanie zaszyfrowanej maszyny wirtualnej do innego regionu nie jest obecnie obsługiwane.
Gdzie mogę zadać pytania lub przekazać opinię?
Możesz zadać pytania lub przekazać opinię na stronie pytań i odpowiedzi firmy Microsoft na temat usługi Azure Disk Encryption.
Następne kroki
W tym dokumencie przedstawiono więcej informacji na temat najczęstszych pytań związanych z usługą Azure Disk Encryption. Aby uzyskać więcej informacji na temat tej usługi, zobacz następujące artykuły: