Azure Disk Encryption för Windows (Microsoft.Azure.Security.AzureDiskEncryption)

Översikt

Azure Disk Encryption använder BitLocker för att tillhandahålla fullständig diskkryptering på virtuella Azure-datorer som kör Windows. Den här lösningen är integrerad med Azure Key Vault för att hantera diskkrypteringsnycklar och hemligheter i din nyckelvalvsprenumeration.

Förutsättningar

En fullständig lista över krav finns i Azure Disk Encryption för virtuella Windows-datorer, särskilt följande avsnitt:

• Virtuella datorer och operativsystem som stöds
• Nätverkskrav
• Grupprincipkrav

Tilläggsschema

Det finns två versioner av tilläggsschemat för Azure Disk Encryption (ADE):

• v2.2 – Ett nyare rekommenderat schema som inte använder Microsoft Entra-egenskaper.
• v1.1 – Ett äldre schema som kräver Microsoft Entra-egenskaper.

Om du vill välja ett målschema måste egenskapen vara lika med den typeHandlerVersion version av schemat som du vill använda.

Schema v2.2: Inget Microsoft Entra-ID (rekommenderas)

V2.2-schemat rekommenderas för alla nya virtuella datorer och kräver inte Microsoft Entra-egenskaper.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryption",
        "typeHandlerVersion": "2.2",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[keyVaultResourceID]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[kekVaultResourceID]",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Schema v1.1: med Microsoft Entra-ID

1.1-schemat kräver aadClientID eller aadClientSecret AADClientCertificate rekommenderas inte för nya virtuella datorer.

Använda aadClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Använda AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Egenskapsvärden

Obs! Alla värden är skiftlägeskänsliga.

Name	Värde/exempel	Datatyp
apiVersion	2019-07-01	datum
förläggare	Microsoft.Azure.Security	sträng
type	AzureDiskEncryption	sträng
typeHandlerVersion	2.2, 1.1	sträng
(1.1 schema) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(1.1 schema) AADClientSecret	password	sträng
(1.1 schema) AADClientCertificate	tumavtryck	sträng
EncryptionOperation	EnableEncryption	sträng
(valfritt – standard-RSA-OAEP ) KeyEncryptionAlgorithm	"RSA-OAEP", "RSA-OAEP-256", "RSA1_5"	sträng
KeyVaultURL	URL	sträng
KeyVaultResourceId	URL	sträng
(valfritt) KeyEncryptionKeyURL	URL	sträng
(valfritt) KekVaultResourceId	URL	sträng
(valfritt) SequenceVersion	uniqueidentifier	sträng
VolumeType	OS, Data, Alla	sträng

Malldistribution

Ett exempel på malldistribution baserat på schema v2.2 finns i Azure Quickstart Template encrypt-running-windows-vm-without-aad.

Ett exempel på malldistribution baserat på schema v1.1 finns i Azure Quickstart Template encrypt-running-windows-vm.

Kommentar

VolumeType Om parametern är inställd på Alla krypteras datadiskar endast om de är korrekt formaterade.

Felsökning och support

Felsöka

Information om felsökning finns i felsökningsguiden för Azure Disk Encryption.

Support

Om du behöver mer hjälp när som helst i den här artikeln kan du kontakta Azure-experterna på MSDN Azure- och Stack Overflow-forumen.

Du kan också skapa en Azure-supportincident. Gå till Azure-support och välj Hämta support. Information om hur du använder Azure Support finns i Vanliga frågor och svar om Microsoft Azure-support.

Nästa steg

• Mer information om tillägg finns i Tillägg och funktioner för virtuella datorer för Windows.
• Mer information om Azure Disk Encryption för Windows finns i Virtuella Windows-datorer.