تشفير قرص Azure لنظامWindows (Microsoft.Azure.Security.AzureDiskEncryption)

مقالة
05/16/2022
قراءة خلال 2 دقائق

نظرة عامة

يستفيد تشفير قرص Azure من BitLocker لتوفير تشفير كامل للقرص على أجهزة Azure الظاهرية التي تعمل بنظام Windows. تم دمج هذا الحل مع Azure Key Vault لإدارة مفاتيح تشفير القرص وبياناته السرية في اشتراك key vault.

المتطلبات الأساسية

للحصول على قائمة كاملة بالمتطلبات الأساسية، راجع تشفير قرص Azure لأجهزة ظاهرية بنظام Windows، وتحديداً الأقسام التالية:

مخطط الملحق

هناك إصداران من مخطط الملحق لتشفير قرص Azure (ADE):

v2.2 - مخطط أحدث موصى به لا يستخدم خصائص Microsoft Azure Active Directory (AAD).
v1.1 - مخطط أقدم يتطلب خصائص Microsoft Azure Active Directory (AAD).

لتحديد المخطط المستهدف، يجب تعيين الخاصية typeHandlerVersion بحيث تكون مساوية لإصدار المخطط الذي تريد استخدامه.

المخطط v2.2: لا يوجد Microsoft Azure Active Directory (مستحسن)

يوصى باستخدام المخطط v2.2 لجميع الأجهزة الظاهرية الجديدة ولا يتطلب خصائص Microsoft Azure Active Directory.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryption",
        "typeHandlerVersion": "2.2",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[keyVaultResourceID]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[kekVaultResourceID]",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

المخطط v1.1: مع Microsoft Azure Active Directory

يتطلب المخطط 1.1 aadClientID وإما aadClientSecret أو AADClientCertificate ولا يُنصح به للأجهزة الظاهرية الجديدة.

استخدام aadClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

استخدام AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

قيم Property

ملاحظة: جميع القيم حساسة لحالة الأحرف.

الاسم	القيمة / المثال	نوع البيانات
apiVersion	2019-07-01	التاريخ
الناشر	Microsoft.Azure.Security	سلسلة
النوع	AzureDiskEncryption	سلسلة
typeHandlerVersion	2.2، 1.1	سلسلة
(المخطط 1.1) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(المخطط 1.1) AADClientSecret	كلمة المرور	سلسلة
(المخطط 1.1) AADClientCertificate	بصمة الإبهام	سلسلة
EncryptionOperation	EnableEncryption	سلسلة
(اختياري - RSA-OAEP افتراضي) KeyEncryptionAlgorithm	'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5'	سلسلة
KeyVaultURL	عنوان url	سلسلة
KeyVaultResourceId	عنوان url	سلسلة
(اختياري) KeyEncryptionKeyURL	عنوان url	سلسلة
(اختياري) KekVaultResourceId	عنوان url	سلسلة
(اختياري) SequenceVersion	uniqueidentifier	سلسلة
VolumeType	نظام التشغيل، البيانات، الكل	سلسلة

توزيع القالب

للحصول على مثال لتوزيع القالب استناداً إلى المخطط v2.2، راجع قالب التشغيل السريع من Azure encrypt-running-windows-vm-without-aad.

للحصول على مثال لتوزيع القالب استناداً إلى المخطط v1.1، راجع قالب التشغيل السريع من Azure encrypt-running-windows-vm.

ملاحظة

في حال تعيين المعلمة VolumeType إلى الكل، سيتم تشفير أقراص البيانات فقط إذا تم تنسيقها بشكل صحيح.

استكشاف الأخطاء وإصلاحها والدعم

استكشاف الأخطاء وإصلاحها

لاستكشاف الأخطاء وإصلاحها، راجع دليل استكشاف أخطاء تشفير قرص Azure وإصلاحها.

الدعم

إذا كنت بحاجة إلى مزيد من المساعدة بخصوص هذه المقالة، فيمكنك الاتصال بخبراء Azure في منتديات MSDN Azure وStack Overflow.

بدلاً من ذلك، يمكنك تقديم حدث دعم Azure. انتقل إلى "Azure support"، وحدد "Get support". للحصول على معلومات حول استخدام دعم Azure، اقرأ الأسئلة المتداولة حول دعم Microsoft Azure.

الخطوات التالية

لمزيد من المعلومات حول الملحقات، راجع ملحقات الجهاز الظاهري وميزاته لنظام Windows.
لمزيد من المعلومات حول تشفير قرص Azure لنظام Windows، راجع الأجهزة الظاهرية بنظام Windows.