Azure Disk Encryption dla maszyn wirtualnych z systemem Windows

Dotyczy: ✔️ Maszyny wirtualne z systemem Windows — elastyczne zestawy ✔️ skalowania

Usługa Azure Disk Encryption pomaga chronić dane zgodnie z wymaganiami organizacji w zakresie zabezpieczeń i zgodności. Używa ona funkcji BitLocker systemu Windows do zapewniania szyfrowania woluminów dla dysków systemu operacyjnego i danych maszyn wirtualnych platformy Azure oraz jest zintegrowana z usługą Azure Key Vault, aby ułatwić kontrolowanie kluczy i wpisów tajnych szyfrowania dysków oraz zarządzanie nimi.

Usługa Azure Disk Encryption jest odporna na strefy, tak samo jak Virtual Machines. Aby uzyskać szczegółowe informacje, zobacz Usługi platformy Azure, które obsługują Strefy dostępności.

Jeśli używasz Microsoft Defender dla chmury, otrzymasz alert, jeśli masz maszyny wirtualne, które nie są szyfrowane. Alerty są wyświetlane jako Wysoka ważność, a zaleceniem jest szyfrowanie tych maszyn wirtualnych.

alert Microsoft Defender dotyczący szyfrowania dysków w chmurze

Ostrzeżenie

  • Jeśli wcześniej maszynę wirtualną zaszyfrowano za pomocą usługi Azure Disk Encryption z usługą Azure AD, należy nadal używać tej opcji do szyfrowania maszyny wirtualnej. Zobacz Usługa Azure Disk Encryption z aplikacją usługi Azure AD (wcześniejsza wersja), aby poznać szczegóły.
  • Niektóre zalecenia mogą zwiększyć użycie danych, sieci lub zasobów obliczeniowych, co powoduje dodatkowe koszty licencji lub subskrypcji. Aby utworzyć zasoby na platformie Azure w obsługiwanych regionach, musisz mieć prawidłową aktywną subskrypcję platformy Azure.
  • Nie należy używać funkcji BitLocker do ręcznego odszyfrowywania maszyny wirtualnej lub dysku zaszyfrowanego za pomocą usługi Azure Disk Encryption.

Podstawy usługi Azure Disk Encryption dla systemu Windows możesz poznać w ciągu kilku minut, zapoznasz się z przewodnikiem Szybki start Tworzenie i szyfrowanie maszyny wirtualnej z systemem Windows przy użyciu interfejsu wiersza polecenia platformy Azure lub Tworzenie i szyfrowanie maszyny wirtualnej z systemem Windows przy użyciu Azure PowerShell przewodniku Szybki start.

Obsługiwane maszyny wirtualne i systemy operacyjne

Obsługiwane maszyny wirtualne

Maszyny wirtualne z systemem Windows są dostępne w różnych rozmiarach. Usługa Azure Disk Encryption jest obsługiwana na maszynach wirtualnych generacji 1 i 2. generacji. Usługa Azure Disk Encryption jest również dostępna dla maszyn wirtualnych z magazynem w warstwie Premium.

Usługa Azure Disk Encryption nie jest dostępna na maszynach wirtualnych z serii Podstawowa lub na maszynach wirtualnych z mniej niż 2 GB pamięci. Aby uzyskać więcej wyjątków, zobacz Azure Disk Encryption: nieobsługiwane scenariusze.

Obsługiwane systemy operacyjne

  • Klient systemu Windows: Windows 8 i nowsze.
  • Windows Server: Windows Server 2008 R2 i nowsze.
  • Windows 10 Enterprise wielu sesjach i nowszych.

Uwaga

Systemy Windows Server 2022 i Windows 11 nie obsługują klucza RSA 2048 bitowego. Aby uzyskać więcej informacji, zobacz Często zadawane pytania: jakiego rozmiaru należy używać dla klucza szyfrowania klucza?

System Windows Server 2008 R2 wymaga zainstalowania .NET Framework 4.5 na potrzeby szyfrowania; zainstaluj go z Windows Update z opcjonalną aktualizacją microsoft .NET Framework 4.5.2 dla systemów z systemem Windows Server 2008 R2 x64 (KB2901983).

Windows Server 2012 R2 Core i Windows Server 2016 Core wymaga zainstalowania składnika bdehdcfg na maszynie wirtualnej na potrzeby szyfrowania.

Wymagania dotyczące sieci

Aby włączyć usługę Azure Disk Encryption, maszyny wirtualne muszą spełniać następujące wymagania dotyczące konfiguracji punktu końcowego sieci:

  • Aby uzyskać token umożliwiający nawiązanie połączenia z magazynem kluczy, maszyna wirtualna z systemem Windows musi mieć możliwość nawiązania połączenia z punktem końcowym usługi Azure Active Directory [login.microsoftonline.com].
  • Aby zapisać klucze szyfrowania w magazynie kluczy, maszyna wirtualna z systemem Windows musi mieć możliwość nawiązania połączenia z punktem końcowym magazynu kluczy.
  • Maszyna wirtualna z systemem Windows musi mieć możliwość nawiązania połączenia z punktem końcowym magazynu platformy Azure, który hostuje repozytorium rozszerzeń platformy Azure i konto magazynu platformy Azure hostujące pliki VHD.
  • Jeśli zasady zabezpieczeń ograniczają dostęp z maszyn wirtualnych platformy Azure do Internetu, możesz rozpoznać powyższy identyfikator URI i skonfigurować określoną regułę zezwalającą na łączność wychodzącą z adresami IP. Aby uzyskać więcej informacji, zobacz Azure Key Vault za zaporą.

Wymagania dotyczące zasad grupy

Usługa Azure Disk Encryption używa funkcji ochrony klucza zewnętrznego funkcji BitLocker dla maszyn wirtualnych z systemem Windows. W przypadku maszyn wirtualnych przyłączonych do domeny nie wypychaj żadnych zasad grupy, które wymuszają funkcje ochrony modułu TPM. Aby uzyskać informacje o zasadach grupy dla opcji "Zezwalaj na funkcję BitLocker bez zgodnego modułu TPM", zobacz Dokumentacja funkcji BitLocker zasady grupy.

Zasady funkcji BitLocker na maszynach wirtualnych przyłączonych do domeny z niestandardowymi zasadami grupy muszą zawierać następujące ustawienie: Konfigurowanie magazynu użytkowników informacji odzyskiwania funkcji BitLocker —> zezwalaj na 256-bitowy klucz odzyskiwania. Usługa Azure Disk Encryption zakończy się niepowodzeniem, gdy niestandardowe ustawienia zasad grupy dla funkcji BitLocker są niezgodne. Na maszynach, które nie mają poprawnego ustawienia zasad, zastosuj nowe zasady i wymuś aktualizację nowych zasad (gpupdate.exe /force). Może być wymagane ponowne uruchomienie.

Funkcje zasad grupy Administracja i monitorowanie funkcji Microsoft BitLocker (MBAM) nie są zgodne z usługą Azure Disk Encryption.

Ostrzeżenie

Usługa Azure Disk Encryption nie przechowuje kluczy odzyskiwania. Jeśli ustawienie zabezpieczeń interakcyjnego logowania: próg blokady konta komputera jest włączone, maszyny mogą być odzyskiwane tylko przez podanie klucza odzyskiwania za pośrednictwem konsoli szeregowej. Instrukcje dotyczące zapewniania włączenia odpowiednich zasad odzyskiwania można znaleźć w planie przewodnika odzyskiwania funkcji BitLocker.

Usługa Azure Disk Encryption zakończy się niepowodzeniem, jeśli zasady grupy na poziomie domeny blokują algorytm AES-CBC, który jest używany przez funkcję BitLocker.

Wymagania dotyczące magazynu kluczy szyfrowania

Usługa Azure Disk Encryption wymaga usługi Azure Key Vault do kontrolowania kluczy i wpisów tajnych szyfrowania dysków oraz zarządzania nimi. Magazyn kluczy i maszyny wirtualne muszą znajdować się w tym samym regionie i subskrypcji platformy Azure.

Aby uzyskać szczegółowe informacje, zobacz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption.

Terminologia

W poniższej tabeli zdefiniowano niektóre typowe terminy używane w dokumentacji szyfrowania dysków platformy Azure:

Terminologia Definicja
Azure Key Vault Key Vault to kryptograficzna usługa zarządzania kluczami oparta na zweryfikowanych modułach zabezpieczeń sprzętowych fiPS (Federal Information Processing Standards). Te standardy pomagają chronić klucze kryptograficzne i poufne wpisy tajne. Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Key Vault oraz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption.
Interfejs wiersza polecenia platformy Azure Interfejs wiersza polecenia platformy Azure jest zoptymalizowany pod kątem zarządzania zasobami platformy Azure i administrowania nimi z poziomu wiersza polecenia.
BitLocker Funkcja BitLocker to technologia szyfrowania woluminów systemu Windows, która jest używana do włączania szyfrowania dysków na maszynach wirtualnych z systemem Windows.
Klucz szyfrowania klucza (KEK) Klucz asymetryczny (RSA 2048), którego można użyć do ochrony lub zawijania wpisu tajnego. Możesz udostępnić sprzętowy klucz chroniony przez moduł zabezpieczeń (HSM) lub klucz chroniony przez oprogramowanie. Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Key Vault oraz Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption.
Polecenia cmdlet programu PowerShell Aby uzyskać więcej informacji, zobacz Azure PowerShell polecenia cmdlet.

Następne kroki