Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Шифрование дисков Azure использует BitLocker для обеспечения полного шифрования дисков на виртуальных машинах Azure под управлением Windows. Это решение интегрировано с Azure Key Vault для управления ключами шифрования дисков и секретами в подписке хранилища ключей.
Примечание.
Новое! Попробуйте использовать поддержку виртуальной машины для ускорения диагностикиРекомендуется запустить VM Assist для Windows или VM Assist для Linux. Эти средства диагностики на основе скриптов помогают выявить распространенные проблемы, влияющие на гостевой агент виртуальной машины Azure и общую работоспособность виртуальных машин.
Предпосылки
Полный список необходимых компонентов см. в разделе "Шифрование дисков Azure для виртуальных машин Windows", в частности в следующих разделах:
- Поддерживаемые виртуальные машины и операционные системы
- Требования к сети
- Требования групповой политики
Схема расширения
Существует две версии схемы расширения для шифрования дисков Azure (ADE):
- версия 2.2. Более новая рекомендуемая схема, которая не использует свойства Microsoft Entra.
- версия 1.1 — старая схема, требующая свойств Microsoft Entra.
Чтобы выбрать целевую схему, typeHandlerVersion свойство должно быть равно версии схемы, которую вы хотите использовать.
Схема v2.2: Без использования идентификатора Microsoft Entra (рекомендуется)
Схема версии 2.2 рекомендуется для всех новых виртуальных машин и не требует свойств Microsoft Entra.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"settings": {
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Схема версии 1.1: с идентификатором Microsoft Entra
Для схемы версии 1.1 требуется aadClientID и либо aadClientSecret, либо AADClientCertificate, и она не рекомендуется для новых виртуальных машин.
Использование aadClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Использование AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Значения свойств
Примечание. Все значения чувствительны к регистру.
| Имя | Значение и пример | Тип данных |
|---|---|---|
| apiVersion | 2019-07-01 | дата |
| издатель | Microsoft.Azure.Security | струна |
| тип | AzureDiskEncryption | струна |
| typeHandlerVersion | 2.2, 1.1 | струна |
| (схема 1.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | гид |
| (схема 1.1) AADClientSecret | пароль | струна |
| (схема 1.1) AADClientCertificate | Отпечаток большого пальца | струна |
| ОперацияШифрования | EnableEncryption | струна |
| (необязательно— RSA-OAEP по умолчанию) KeyEncryptionAlgorithm | RSA-OAEP, RSA-OAEP-256, RSA1_5 | струна |
| KeyVaultURL | URL-адрес | струна |
| KeyVaultResourceId | URL-адрес | струна |
| (необязательно) KeyEncryptionKeyURL | URL-адрес | струна |
| (необязательно) KekVaultResourceId | URL-адрес | струна |
| (необязательно) SequenceVersion | уникальный идентификатор | струна |
| VolumeType | ОС, данные, все | струна |
Развертывание шаблона
Пример развертывания шаблона на основе схемы версии 2.2 см. в статье "Шаблон быстрого запуска Azure encrypt-running-windows-vm-without-aad".
Пример развертывания шаблона на основе схемы версии 1.1 см. в статье "Шаблон быстрого запуска Azure encrypt-running-windows-vm".
Примечание.
Кроме того, если VolumeType для параметра задано значение All, диски данных будут зашифрованы только в том случае, если они правильно отформатированы.
Устранение неполадок и поддержка
Устранение неполадок
Дополнительные сведения см. в руководстве по устранению неполадок с шифрованием дисков Azure.
Поддержка
Если в любой момент при изучении этой статьи вам потребуется дополнительная помощь, вы можете обратиться к экспертам по Azure на форумах MSDN Azure и Stack Overflow.
Кроме того, можно зарегистрировать обращение в службу поддержки Azure. Перейдите в службу поддержки Azure и выберите "Получить поддержку". Дополнительные сведения об использовании службы поддержки Azure см. в статье "Часто задаваемые вопросы о поддержке Microsoft Azure".
Дальнейшие действия
- См. дополнительные сведения о расширениях и компонентах виртуальных машин Windows.
- Дополнительные сведения о шифровании дисков Azure для Windows см. в статье "Виртуальные машины Windows".