適用於 Windows 的 Azure 磁碟加密 (Microsoft.Azure.Security.AzureDiskEncryption)
概觀
Azure 磁碟加密會使用 BitLocker 在執行 Windows 的 Azure 虛擬機器上提供完整的磁碟加密。 此解決方案與 Azure Key Vault 整合,可讓您管理金鑰保存庫訂用帳戶中的磁碟加密金鑰與祕密。
必要條件
如需必要條件的完整清單,請參閱適用於 Windows VM 的 Azure 磁碟加密,尤其是以下幾節:
擴充功能結構描述
Azure 磁碟加密 (ADE) 有兩個版本的擴充功能結構描述:
- v2.2 - 較新的建議架構,不使用 Microsoft Entra 屬性。
- v1.1 - 需要 Microsoft Entra 屬性的較舊架構。
若要選取目標結構描述,typeHandlerVersion 屬性必須設定為您想要使用的結構描述版本。
架構 v2.2:無 Microsoft Entra ID (建議)
建議針對所有新的 VM 使用 v2.2 架構,且不需要 Microsoft Entra 屬性。
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"settings": {
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
架構 v1.1:使用 Microsoft Entra ID
1.1 結構描述需要 aadClientID 以及 aadClientSecret 或 AADClientCertificate,且不建議用於新的 VM。
使用 aadClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
使用 AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
屬性值
注意:所有值會區分大小寫。
| 名稱 | 值 / 範例 | 資料類型 |
|---|---|---|
| apiVersion | 2019-07-01 | date |
| publisher | Microsoft.Azure.Security | string |
| type | AzureDiskEncryption | string |
| typeHandlerVersion | 2.2、1.1 | string |
| (1.1 結構描述) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (1.1 結構描述) AADClientSecret | password | string |
| (1.1 結構描述) AADClientCertificate | thumbprint | string |
| EncryptionOperation | EnableEncryption | string |
| (選擇性 - 預設 RSA-OAEP) KeyEncryptionAlgorithm | 'RSA-OAEP'、'RSA-OAEP-256'、'RSA1_5' | string |
| KeyVaultURL | URL | string |
| KeyVaultResourceId | URL | string |
| (選擇性) KeyEncryptionKeyURL | URL | string |
| (選擇性) KekVaultResourceId | URL | string |
| (選擇性) SequenceVersion | UNIQUEIDENTIFIER | string |
| VolumeType | 作業系統、資料、全部 | string |
範本部署
如需以結構描述 v2.2 為基礎的範本部署範例,請參閱 Azure 快速入門範本 encrypt-running-windows-vm-without-aad。
如需以結構描述 v1.1 為基礎的範本部署範例,請參閱 Azure 快速入門範本 encrypt-running-windows-vm。
注意
此外,如果 VolumeType 參數設定為 [全部],則資料磁碟只有在正確格式化時才會加密。
疑難排解與支援
疑難排解
如需疑難排解資訊,請參閱 Azure 磁碟加密疑難排解指南。
支援
如果您在本文中有任何需要協助的地方,您可以連絡 MSDN Azure 和 Stack Overflow 論壇上的 Azure 專家。
或者,您可以提出 Azure 支援事件。 移至 Azure 支援,然後選取 [取得支援]。 如需關於使用 Azure 支援的資訊,請參閱 Microsoft Azure 支援常見問題集。
下一步
- 如需擴充功能的詳細資訊,請參閱虛擬機器擴充功能和 Windows 功能。
- 若要進一步了解適用於 Windows 的 Azure 磁碟加密,請參閱 Windows 虛擬機器。