共用方式為


適用於 Windows 的 Azure 磁碟加密 (Microsoft.Azure.Security.AzureDiskEncryption)

概觀

Azure 磁碟加密會使用 BitLocker 在執行 Windows 的 Azure 虛擬機器上提供完整的磁碟加密。 此解決方案與 Azure Key Vault 整合,可讓您管理金鑰保存庫訂用帳戶中的磁碟加密金鑰與祕密。

必要條件

如需必要條件的完整清單,請參閱適用於 Windows VM 的 Azure 磁碟加密,尤其是以下幾節:

擴充功能結構描述

Azure 磁碟加密 (ADE) 有兩個版本的擴充功能結構描述:

  • v2.2 - 較新的建議架構,不使用 Microsoft Entra 屬性。
  • v1.1 - 需要 Microsoft Entra 屬性的較舊架構。

若要選取目標結構描述,typeHandlerVersion 屬性必須設定為您想要使用的結構描述版本。

建議針對所有新的 VM 使用 v2.2 架構,且不需要 Microsoft Entra 屬性。

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryption",
        "typeHandlerVersion": "2.2",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[keyVaultResourceID]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[kekVaultResourceID]",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

架構 v1.1:使用 Microsoft Entra ID

1.1 結構描述需要 aadClientID 以及 aadClientSecretAADClientCertificate,且不建議用於新的 VM。

使用 aadClientSecret

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

使用 AADClientCertificate

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

屬性值

注意:所有值會區分大小寫。

名稱 值 / 範例 資料類型
apiVersion 2019-07-01 date
publisher Microsoft.Azure.Security string
type AzureDiskEncryption string
typeHandlerVersion 2.2、1.1 string
(1.1 結構描述) AADClientID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx guid
(1.1 結構描述) AADClientSecret password string
(1.1 結構描述) AADClientCertificate thumbprint string
EncryptionOperation EnableEncryption string
(選擇性 - 預設 RSA-OAEP) KeyEncryptionAlgorithm 'RSA-OAEP'、'RSA-OAEP-256'、'RSA1_5' string
KeyVaultURL URL string
KeyVaultResourceId URL string
(選擇性) KeyEncryptionKeyURL URL string
(選擇性) KekVaultResourceId URL string
(選擇性) SequenceVersion UNIQUEIDENTIFIER string
VolumeType 作業系統、資料、全部 string

範本部署

如需以結構描述 v2.2 為基礎的範本部署範例,請參閱 Azure 快速入門範本 encrypt-running-windows-vm-without-aad

如需以結構描述 v1.1 為基礎的範本部署範例,請參閱 Azure 快速入門範本 encrypt-running-windows-vm

注意

此外,如果 VolumeType 參數設定為 [全部],則資料磁碟只有在正確格式化時才會加密。

疑難排解與支援

疑難排解

如需疑難排解資訊,請參閱 Azure 磁碟加密疑難排解指南

支援

如果您在本文中有任何需要協助的地方,您可以連絡 MSDN Azure 和 Stack Overflow 論壇上的 Azure 專家。

或者,您可以提出 Azure 支援事件。 移至 Azure 支援,然後選取 [取得支援]。 如需關於使用 Azure 支援的資訊,請參閱 Microsoft Azure 支援常見問題集

下一步