Windows için Azure Disk Şifrelemesi (Microsoft.Azure.Security.AzureDiskEncryption)

Genel Bakış

Azure Disk Şifrelemesi, Windows çalıştıran Azure sanal makinelerinde tam disk şifrelemesi sağlamak için BitLocker kullanır. Bu çözüm, anahtar kasası aboneliğinizdeki disk şifreleme anahtarlarını ve gizli dizileri yönetmek için Azure Key Vault ile tümleşiktir.

Ön koşullar

Önkoşulların tam listesi için windows vm'leri için Azure Disk Şifrelemesi, özellikle de aşağıdaki bölümlere bakın:

• Desteklenen VM'ler ve işletim sistemleri
• Ağ gereksinimleri
• Grup İlkesi gereksinimleri

Uzantı Şeması

Azure Disk Şifrelemesi (ADE) için uzantı şemasının iki sürümü vardır:

• v2.2 - Microsoft Entra özelliklerini kullanmayan daha yeni bir önerilen şema.
• v1.1 - Microsoft Entra özellikleri gerektiren eski bir şema.

Hedef şemayı seçmek için özelliği, typeHandlerVersion kullanmak istediğiniz şema sürümüne eşit olarak ayarlanmalıdır.

Şema v2.2: Microsoft Entra Kimliği yok (önerilir)

Tüm yeni VM'ler için v2.2 şeması önerilir ve Microsoft Entra özellikleri gerektirmez.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryption",
        "typeHandlerVersion": "2.2",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[keyVaultResourceID]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[kekVaultResourceID]",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Şema v1.1: Microsoft Entra Id ile

1.1 şeması veya gerektirir aadClientIDaadClientSecretAADClientCertificate ve yeni VM'ler için önerilmez.

kullanarak aadClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

kullanarak AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Özellik değerleri

Not: Tüm değerler büyük/küçük harfe duyarlıdır.

Ad	Değer / Örnek	Veri Türü
apiVersion	2019-07-01	tarih
Yayımcı	Microsoft.Azure.Security	Dize
tür	AzureDiskEncryption	Dize
typeHandlerVersion	2.2, 1.1	Dize
(1.1 şeması) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(1.1 şeması) AADClientSecret	password	Dize
(1.1 şeması) AADClientCertificate	Parmak izi	Dize
EncryptionOperation	EnableEncryption	Dize
(isteğe bağlı - varsayılan RSA-OAEP ) KeyEncryptionAlgorithm	'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5'	Dize
KeyVaultURL	url	dize
KeyVaultResourceId	url	dize
(isteğe bağlı) KeyEncryptionKeyURL	url	dize
(isteğe bağlı) KekVaultResourceId	url	dize
(isteğe bağlı) SequenceVersion	uniqueidentifier	Dize
VolumeType	İşletim Sistemi, Veri, Tümü	Dize

Şablon dağıtımı

v2.2 şemasını temel alan şablon dağıtımı örneği için bkz. Azure Hızlı Başlangıç Şablonu encrypt-running-windows-vm-without-aad.

v1.1 şemasını temel alan şablon dağıtımı örneği için bkz. Azure Hızlı Başlangıç Şablonu encrypt-running-windows-vm.

Dekont

Ayrıca parametre Tümü olarak ayarlanırsa VolumeType , veri diskleri yalnızca düzgün biçimlendirilmişse şifrelenir.

Sorun giderme ve destek

Sorun giderme

Sorunları gidermek için Azure Disk Şifrelemesi sorun giderme kılavuzuna bakın.

Destek

Bu makalenin herhangi bir noktasında daha fazla yardıma ihtiyacınız varsa MSDN Azure ve Stack Overflow forumlarında Azure uzmanlarına başvurabilirsiniz.

Alternatif olarak, bir Azure desteği olayı da oluşturabilirsiniz. Azure desteği gidin ve Destek al'ı seçin. Azure Desteği'ni kullanma hakkında bilgi için Microsoft Azure Desteği SSS bölümünü okuyun.

Sonraki adımlar

• Uzantılar hakkında daha fazla bilgi için bkz . Windows için sanal makine uzantıları ve özellikleri.
• Windows için Azure Disk Şifrelemesi hakkında daha fazla bilgi için bkz. Windows sanal makineleri.