Azure Disk Encryption para Windows (Microsoft.Azure.Security.AzureDiskEncryption)

Descrição geral

A Criptografia de Disco do Azure usa o BitLocker para fornecer criptografia de disco total em máquinas virtuais do Azure que executam o Windows. Esta solução está integrada com o Azure Key Vault para gerir chaves de encriptação de disco e segredos na sua subscrição do cofre de chaves.

Pré-requisitos

Para obter uma lista completa de pré-requisitos, consulte Azure Disk Encryption for Windows VMs, especificamente as seguintes seções:

• VMs e sistemas operacionais suportados
• Requisitos de rede
• Requisitos da Política de Grupo

Esquema de extensão

Há duas versões do esquema de extensão para o Azure Disk Encryption (ADE):

• v2.2 - Um esquema recomendado mais recente que não usa as propriedades do Microsoft Entra.
• v1.1 - Um esquema mais antigo que requer propriedades do Microsoft Entra.

Para selecionar um esquema de destino, a typeHandlerVersion propriedade deve ser definida como igual à versão do esquema que você deseja usar.

Esquema v2.2: Sem ID do Microsoft Entra (recomendado)

O esquema v2.2 é recomendado para todas as novas VMs e não requer propriedades do Microsoft Entra.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryption",
        "typeHandlerVersion": "2.2",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[keyVaultResourceID]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[kekVaultResourceID]",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Esquema v1.1: com o Microsoft Entra ID

O esquema 1.1 requer aadClientID e ou aadClientSecret e AADClientCertificate não é recomendado para novas VMs.

Utilização de aadClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Utilização de AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Valores de propriedade

Nota: Todos os valores diferenciam maiúsculas de minúsculas.

Nome	Valor / Exemplo	Tipo de Dados
apiVersion	2019-07-01	data
editora	Microsoft.Azure.Segurança	string
tipo	AzureDiskEncryption	string
typeHandlerVersion	2.2, 1.1	string
(1.1 esquema) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(1.1 esquema) AADClientSecret	password	string
(1.1 esquema) AADClientCertificate	impressão digital	string
EncryptionOperation	EnableEncryption	string
(opcional - padrão RSA-OAEP) KeyEncryptionAlgorithm	«RSA-OAEP», «RSA-OAEP-256», «RSA1_5»	string
KeyVaultURL	url	string
KeyVaultResourceId	url	string
(facultativo) KeyEncryptionKeyURL	url	string
(facultativo) KekVaultResourceId	url	string
(facultativo) SequenceVersion	uniqueidentifier	string
VolumeType	SO, Dados, Todos	string

Implementação de modelos

Para obter um exemplo de implantação de modelo com base no esquema v2.2, consulte Azure Quickstart Template encrypt-running-windows-vm-without-aad.

Para obter um exemplo de implantação de modelo com base no esquema v1.1, consulte Azure Quickstart Template encrypt-running-windows-vm.

Nota

Além disso, se VolumeType o parâmetro estiver definido como Todos, os discos de dados serão criptografados somente se estiverem formatados corretamente.

Solução de problemas e suporte

Resolver problemas

Para obter a resolução de problemas, veja o Guia de resolução de problemas do Azure Disk Encryption.

Suporte

Se precisar de mais ajuda em qualquer ponto deste artigo, entre em contato com os especialistas do Azure nos fóruns MSDN Azure e Stack Overflow.

Como alternativa, você pode registrar um incidente de suporte do Azure. Vá para Suporte do Azure e selecione Obter suporte. Para obter informações sobre como usar o Suporte do Azure, leia as Perguntas frequentes de Suporte do Microsoft Azure.

Próximos passos

• Para obter mais informações sobre extensões, consulte Extensões e recursos de máquina virtual para Windows.
• Para obter mais informações sobre o Azure Disk Encryption para Windows, consulte Máquinas virtuais do Windows.