Vanliga frågor och svar om Azure Disk Encryption för virtuella Windows-datorer

Azure Disk Encryption för virtuella Windows-datorer använder BitLocker-funktionen i Windows för att tillhandahålla fullständig diskkryptering av OS-disken och datadiskarna. Dessutom tillhandahåller den kryptering av den tillfälliga disken när VolumeType-parametern är Alla. Innehållsflödena krypteras från den virtuella datorn till lagringsserverdelen. Därmed tillhandahåller du kryptering från slutpunkt till slutpunkt med en kundhanterad nyckel.

Se Virtuella datorer och operativsystem som stöds.

Azure Disk Encryption är allmänt tillgängligt i alla offentliga Azure-regioner.

Azure Disk Encryption GA stöder Azure Resource Manager-mallar, Azure PowerShell och Azure CLI. De olika användarupplevelserna ger dig flexibilitet. Du har tre olika alternativ för att aktivera diskkryptering för dina virtuella datorer. Mer information om användarupplevelsen och stegvis vägledning som finns i Azure Disk Encryption finns i Scenarier med Azure DiskKryptering för Windows.

Det kostar ingenting att kryptera virtuella datordiskar med Azure Disk Encryption, men det finns avgifter som är kopplade till användningen av Azure Key Vault. Mer information om Kostnader för Azure Key Vault finns på sidan med key vault-priser .

Kom igång genom att läsa översikten över Azure Disk Encryption.

I översiktsartikeln azure diskkryptering visas vm-storlekar och operativsystem för virtuella datorer som stöder Azure Disk Encryption.

Du kan kryptera både start- och datavolymer, men du kan inte kryptera data utan att först kryptera OS-volymen.

Nej, Azure Disk Encryption krypterar endast monterade volymer.

Kryptering på serversidan för lagring krypterar Azure-hanterade diskar i Azure Storage. Hanterade diskar krypteras som standard med kryptering på serversidan med en plattformshanterad nyckel (från och med den 10 juni 2017). Du kan hantera kryptering av hanterade diskar med egna nycklar genom att ange en kundhanterad nyckel. Mer information finns i Kryptering på serversidan av Azure-hanterade diskar.

Azure Disk Encryption tillhandahåller kryptering från slutpunkt till slutpunkt för OS-disken, datadiskar och den tillfälliga disken med en kundhanterad nyckel.

• Om dina krav omfattar kryptering av all kryptering ovan och från slutpunkt till slutpunkt använder du Azure Disk Encryption.
• Om dina krav omfattar kryptering av endast vilande data med kundhanterad nyckel använder du kryptering på serversidan med kundhanterade nycklar. Du kan inte kryptera en disk med både Azure Disk Encryption och Lagringskryptering på serversidan med kundhanterade nycklar.
• Om du använder ett scenario som beskrivs i Begränsningar kan du överväga kryptering på serversidan med kundhanterade nycklar.
• Om din organisations princip tillåter att du krypterar innehåll i vila med en Azure-hanterad nyckel behövs ingen åtgärd – innehållet krypteras som standard. För hanterade diskar krypteras innehållet i lagringen som standard med kryptering på serversidan med plattformshanterad nyckel. Nyckeln hanteras av Azure Storage-tjänsten.

Om du vill rotera hemligheter anropar du bara samma kommando som du använde ursprungligen för att aktivera diskkryptering och anger ett annat Nyckelvalv. Om du vill rotera nyckelkrypteringsnyckeln anropar du samma kommando som du använde ursprungligen för att aktivera diskkryptering och anger den nya nyckelkrypteringen.

Om du vill lägga till en nyckelkrypteringsnyckel anropar du aktiveringskommandot igen och skickar nyckelkrypteringsnyckelparametern. Om du vill ta bort en nyckelkrypteringsnyckel anropar du aktivera-kommandot igen utan nyckelkrypteringsnyckelparametern.

Windows Server 2022 och Windows 11 innehåller en nyare version av BitLocker och fungerar för närvarande inte med RSA 2048-bitars nyckelkrypteringsnycklar. Använd RSA 3072- eller RSA 4096-bitarsnycklar tills de har lösts, enligt beskrivningen i Operativsystem som stöds.

För tidigare versioner av Windows kan du i stället använda RSA 2048-nyckelkrypteringsnycklar.

Ja, du kan ange dina egna nyckelkrypteringsnycklar. Dessa nycklar skyddas i Azure Key Vault, som är nyckelarkivet för Azure Disk Encryption. Mer information om nyckelkrypteringsnycklar stöder scenarier finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption.

Ja, du kan använda Azure Key Vault för att generera en nyckelkrypteringsnyckel för användning av Azure-diskkryptering. Dessa nycklar skyddas i Azure Key Vault, som är nyckelarkivet för Azure Disk Encryption. Mer information om nyckelkrypteringsnyckeln finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption.

Du kan inte använda den lokala nyckelhanteringstjänsten eller HSM för att skydda krypteringsnycklarna med Azure Disk Encryption. Du kan bara använda Azure Key Vault-tjänsten för att skydda krypteringsnycklarna. Mer information om nyckelkrypteringsnyckelns supportscenarier finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption.

Det finns förutsättningar för Azure Disk Encryption. Se artikeln Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption för att skapa ett nytt nyckelvalv eller konfigurera ett befintligt nyckelvalv för diskkrypteringsåtkomst för att aktivera kryptering och skydda hemligheter och nycklar. Mer information om nyckelkrypteringsnyckelns supportscenarier finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption.

Det finns förutsättningar för Azure Disk Encryption. Se Innehållet i Azure Disk Encryption med Microsoft Entra-ID för att skapa ett Microsoft Entra-program, skapa ett nytt nyckelvalv eller konfigurera ett befintligt nyckelvalv för diskkrypteringsåtkomst för att aktivera kryptering och skydda hemligheter och nycklar. Mer information om nyckelkrypteringsnyckelns supportscenarier finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption med Microsoft Entra-ID.

Ja. Diskkryptering med hjälp av en Microsoft Entra-app stöds fortfarande. Men när du krypterar nya virtuella datorer rekommenderar vi att du använder den nya metoden i stället för att kryptera med en Microsoft Entra-app.

För närvarande finns det ingen direkt migreringssökväg för datorer som har krypterats med en Microsoft Entra-app till kryptering utan en Microsoft Entra-app. Dessutom finns det ingen direkt sökväg från kryptering utan en Microsoft Entra-app till kryptering med en AD-app.

Använd den senaste versionen av Azure PowerShell SDK för att konfigurera Azure Disk Encryption. Ladda ned den senaste versionen av Azure PowerShell. Azure Disk Encryption stöds inte av Azure SDK version 1.1.0.

"Bek-volymen" är en lokal datavolym som lagrar krypteringsnycklarna för krypterade virtuella Azure-datorer på ett säkert sätt.

Azure Disk Encryption väljer krypteringsmetoden i BitLocker baserat på windows-versionen enligt följande:

* AES 256-bitars med diffusor stöds inte i Windows 2012 och senare.

För att fastställa Windows OS-versionen kör du verktyget winver på den virtuella datorn.

Azure Backup tillhandahåller en mekanism för att säkerhetskopiera och återställa krypterade virtuella datorer inom samma prenumeration och region. Anvisningar finns i Säkerhetskopiera och återställa krypterade virtuella datorer med Azure Backup. För närvarande stöds inte återställning av en krypterad virtuell dator till en annan region.

Du kan ställa frågor eller ge feedback på microsofts Q&A-frågesida för Azure Disk Encryption.

Nästa steg

I det här dokumentet har du lärt dig mer om de vanligaste frågorna som rör Azure Disk Encryption. Mer information om den här tjänsten finns i följande artiklar:

• Översikt av Azure Disk Encryption
• Tillämpa diskkryptering i Azure Security Center
• Azure-datakryptering i vila